Přehled novinek z oblasti GDPR pro soukromé společnosti

ÚOOÚ se zaměří na kontrolu uplatnění práva na výmaz osobních údajů

V roce 2025 se evropské úřady pro ochranu údajů, včetně českého Úřadu pro ochranu osobních údajů (ÚOOÚ), zaměří v rámci prováděných kontrol na praktické uplatnění práva subjektů údajů na výmaz dat podle čl. 17 Nařízení GDPR. Toto téma vybral pro koordinované kontrolní akce evropských dozorových úřadů Evropský sbor pro ochranu osobních údajů (EDPB).

Právo na výmaz, známé také jako „právo být zapomenut“, zajišťuje, aby subjekt údajů mohl žádat o odstranění svých osobních údajů, pokud již nejsou potřebné pro účely, pro které byly zpracovány, nebo pokud zpracování probíhá protiprávně. ÚOOÚ plánuje kontrolovat, zda správci osobních údajů efektivně implementují procesy pro vyhovění těmto žádostem, včetně ověřování oprávněnosti požadavků a transparentní komunikace s žadateli.

Právo na výmaz patří mezi klíčové nástroje ochrany osobních údajů. Za nesprávné vyřizování žádostí subjektů údajů o uplatnění jejich práv hrozí při skutečně systematických problémech či ignorování práv subjektu údajů vysoká pokuta v řádech miliónů Kč.

Doporučujeme správcům osobních údajů překontrolovat nastavený proces práva na výmaz osobních údajů, tj. překontrolovat zejména následující oblasti:

  • komunikační kanály – subjekty údajů musí mít snadný a transparentní přístup k podání žádosti o výmaz (všechny běžně dostupné způsoby podání žádosti o výmaz, včetně pošty, e-mailu či datové schránky);
  • proces vyřizování žádostí o výmaz – jsou nastaveny postupy, které zaměstnancům usnadní správné vyřízení přijaté žádosti o výmaz (dodržování lhůt stanovených GDPR, postup výmazu dat ve všech systémech atd.);
  • dokumentace a evidence – proces a jeho činnosti jsou zdokumentovány formou interních předpisů, vedení záznamů o žádostech a jejich vyřízení umožní prokázat, že vyřizování žádosti o výmaz odpovídá požadavkům GDPR.

Důležité ale je mít na paměti, že právo na výmaz není absolutní a vztahuje se pouze na situace, kdy dochází ke zpracování osobních údajů neoprávněně – tedy neexistuje právní důvod pro jejich zpracování. Typicky se jedná o situace, kdy právní důvod existoval (např. zákonná povinnost), ale uplynula (skartační) lhůta, na kterou se tato zákonná povinnost vztahuje a správce osobní údaje nevymazal, tedy již osobní údaje zpracovává neoprávněně. Druhým typickým příkladem je zpracování na základě uděleného souhlasu, který však subjekt údajů odebral. Opět nastává situace, že už neexistuje právní důvod ke zpracování a správce je tedy povinen osobní údaje vymazat.

Podle Nařízení GDPR má subjekt údajů právo na výmaz svých osobních údajů v následujících případech (viz článek 17 Nařízení GDPR):

  • Údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány – pokud účel zpracování osobních údajů již pominul (např. uplynutím lhůty) a údaje již nejsou nezbytné pro plnění původního účelu.
  • Subjekt údajů odvolal souhlas – pokud bylo zpracování údajů založeno na souhlasu subjektu údajů a tento souhlas následně odvolal, přičemž neexistuje jiný právní základ pro jejich zpracování.
  • Subjekt údajů vznesl námitky proti zpracování – pokud subjekt údajů vznesl námitky proti zpracování jeho údajů na základě oprávněného zájmu správce, a pokud neexistují žádné převažující legitimní důvody pro jejich zpracování.
  • Údaje byly zpracovávány protiprávně – pokud došlo k nezákonnému zpracování osobních údajů (např. bez řádného právního důvodu).
  • Údaje musí být vymazány pro splnění právní povinnosti – pokud právní předpisy vyžadují výmaz údajů (např. na základě rozhodnutí soudu nebo dozorového úřadu).
  • Údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti dětem – pokud byly osobní údaje shromážděny od dětí mladších 16 let v souvislosti s nabídkou služeb informační společnosti, kdy je nezbytný souhlas zákonných zástupců.

Právo na výmaz se však nevztahuje na všechny situace, např. pokud je zpracování údajů nezbytné pro splnění právní povinnosti nebo pro výkon práva na svobodu projevu a informace, právo na výmaz se neuplatňuje.

Změna výše pokut za nevyžádaná obchodní sdělení

V říjnu 2024 jsme Vás informovali o problematice označení obchodních sdělení v souladu s českou legislativou a Nařízením GDPR, které klade důraz na ochranu osobních údajů a transparentnost komunikace. Nevyžádaná obchodní sdělení zasílaná elektronicky, známá také jako spam, jsou dlouhodobě regulována zákonem č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), který stanovuje pravidla pro rozesílání marketingových sdělení a zároveň vymezuje možné postihy za jejich porušení.

Podle platné legislativy mohou být za nevyžádaná obchodní sdělení ukládány pokuty až do výše 10 mil. Kč. Dozor nad dodržováním pravidel vykonává Úřad pro ochranu osobních údajů, který za závažné prohřešky neváhá ukládat pokuty na horní hranici sazeb (např. v roce 2023 ÚOOÚ uložil pokutu přepravní společnosti ve výši 7,7 mil. Kč za protiprávní rozesílání obchodních sdělení).

V současné době Poslanecká sněmovna projednává návrh nového zákona o digitální ekonomice, jehož znění obsahuje zásadní změnu v oblasti postihů za nevyžádaná obchodní sdělení. Zákon by měl zavést výrazné zvýšení maximálních pokut za protiprávní zasílání obchodních sdělení, a to až 20 mil. EUR, nebo 4 % z celosvětového ročního obratu podniku. Tento zákon, který ale čelí velké kritice z důvodu nedostatečného odůvodnění daty / analýzou trhu a nesystematičností v nejednotném přístupu a výkladu pokut v kontextu EU, má zajistit harmonizaci české legislativy s evropskou regulací (zejména GDPR a směrnicí ePrivacy).

Pokud bude návrh zákona o digitální ekonomice přijat, budou pokuty za nevyžádaná obchodní sdělení dosahovat stamilionových částek. Subjekty rozesílající obchodní sdělení budou muset být připraveny na přísnější pravidla a kontrolu ze strany ÚOOÚ. Pro minimalizaci pokut doporučujeme dodržovat stěžejní pravidla týkající se procesu rozesílání obchodních sdělení, tj.:

  • získat a uchovávat souhlasy příjemců v souladu s Nařízením GDPR;
  • dodržovat pravidla pro zákaznické výjimky;
  • zřetelně označovat obchodní sdělení;
  • umožnit snadné odhlášení z odběru;
  • pravidelně kontrolovat a dokumentovat procesy související s rozesíláním.

Detailnější informace k problematice označení obchodních sdělení naleznete v našem říjnovém shrnutí aktuálních informací z oblasti GDPR.

Zpracování informací o kontaktních osobách zaměstnance pro případ nastalé nečekané situace

Zaměstnavatelé se mohou při výkonu svých činností / agend setkat s různými krizovými situacemi týkajícími se nejen činností zaměstnavatele, ale i osobního života zaměstnanců (např. pracovní úraz, přírodní katastrofa, pracovní cesta do ne zcela bezpečné oblasti apod.).

Pro případy řešení nastalých krizových situací týkajících se osobního života zaměstnanců zpracovávají někteří zaměstnavatelé informace o tzv. kontaktních osobách pro případ nouze. Jedná se o sběr a uložení údajů o kontaktních osobách zaměstnanců, které mohou být kontaktovány např. v případě nehody, zdravotních problémů daného zaměstnance nebo jiných krizových situací majících dopad na zaměstnance. Účelem zpracování dat kontaktních osob je zabránit tomu, aby se rodina a další blízké osoby určené zaměstnancem dozvěděli o nastalém případu nouze z jiného nežádoucího zdroje (např. z médií, sociálních sítí atd.), a aby byla rychle zajištěna ochrana práv a zájmů zaměstnance.

Jedná se výhradně o situace / pracovní pozice, u kterých reálně hrozí potřeba kontaktovat blízké osoby, ke zpracování nemá docházet u pracovních pozic, u kterých potřeba obvykle nenastává. Zaměstnavatel může informace o kontaktních osobách pro případ nouze využít pouze v zájmu daného zaměstnance.

Správné zpracování a uchovávání informací o kontaktních osobách pro případ nouze je klíčové pro efektivní krizové řízení a zajištění bezpečnosti zaměstnanců.

Zaměstnavatel může požádat všechny své zaměstnance o poskytnutí informací o jedné nebo více kontaktních osobách, a to v rozsahu:

  • jméno a příjmení kontaktní osoby;
  • kontaktní adresa;
  • telefonní číslo;
  • e-mailová adresa.

Údaje o kontaktních osobách zaměstnanců:

  • musí být poskytnuty zaměstnancem prokazatelně dobrovolně, k jejich zpracování neexistuje zákonná povinnost, proto musí být podloženo souhlasem a jejich poskytnutí musí být dobrovolné;
  • musí být zaměstnavatelem shromažďovány písemně, nebo prostřednictvím elektronických formulářů;
  • musí být uchovávány v bezpečné a chráněné formě dle zásad GDPR – přístup k těmto informacím má pouze oprávněný zástupce zaměstnavatele (např. vedoucí pracovník, personalista apod.), který v případě potřeb zajistí rychlou komunikaci s kontaktní osobou zaměstnance;
  • musí být aktualizovány, pokud dojde k jakýmkoli změnám;
  • musí být uchovávány max. po dobu trvání pracovního poměru zaměstnance;
  • slouží pouze pro účely kontaktování v případě nastalé nečekané situace / nouze a nemohou být využity za žádným jiným účelem.

Při zpracování a použití údajů kontaktních osob zaměstnanců musí zaměstnavatelé dodržovat Nařízení GDPR a aktuálně platnou legislativu, aby byla zajištěna ochrana soukromí zaměstnanců a jejich kontaktních osob.

Využití umělé inteligence v pracovním prostředí

Využití umělé inteligence (AI) v pracovním prostředí je sice zatím hodnoceno jako vysoce rizikové, ale při dodržení pravidel a podmínek ochrany osobních údajů a soukromí zaměstnanců přináší velké výhody z pohledu ušetření kapacit na vykonání některých agend.

Problém při práci s umělou inteligencí ve vazbě na platné právní předpisy mohou tvořit:

  • osobní údaje (včetně zvláštní kategorie);
  • texty, obrázky a audiozáznamy chráněné autorským právem.

Každý poskytovatel nástrojů umělé inteligence má zveřejněny politiky ochrany osobních údajů, ve kterých transparentně informuje o způsobu zpracování dat, která umělé inteligenci poskytnete. Typicky můžete služby umělé inteligence konzumovat různým způsobem a tomu odpovídá i způsob nakládání s Vašimi daty.

a) Práce s AI prostřednictvím volně dostupného / neplaceného nástroje umělé inteligence (např. CHAT GPT 3.5, Microsoft Copilot):

Poskytovatel služby umělé inteligence potřebuje své modely umělé inteligence učit a vzdělávat, což činí na volně dostupných datech a rovněž na datech, která nástroji poskytnete. Zpravidla se pro umělou inteligenci jedná o ceněnější data než volně dostupná, a proto je uloží a začlení do svých algoritmů.

V tomto případě je striktně zakázáno nástroji umělé inteligence poskytovat jakékoli osobní údaje a rovněž jakékoli autorsky chráněné texty, obrázky aj. V případě jejich poskytnutí dochází k porušení zákona a je reálně možné, že tato data umělá inteligence využije a zakomponuje do svých výstupů pro ostatní uživatele.

Informace o zpracování a uložení dat včetně jejich využití pro učení je možné nalézt např. na webové stránce Open AI – Zásady ochrany osobních údajů.

b) Práce a AI prostřednictvím placené verze nástroje umělé inteligence

Poskytovat nástroje umělé inteligence je možné rovněž pro osobní údaje a autorský obsah, data jsou chráněna a nejsou využívána pro učení nástroje.

V tomto případě je rovněž nutné dotčené osoby transparentně informovat o tom, že jejich data jsou zpracována nástrojem umělé inteligence ve formě zpracovatele (shodně jako jiná služba či subdodavatel).

Nástroj umělé inteligence dále může být součástí jiné služby či nástroje, aniž byste to přímo věděli. V tomto případě rovněž platí, že pro případ licenčně zajištěného nástroje je zpracování možné. Typickými zástupci těchto nástrojů jsou:

  • nástroj „Diktovat“ v MS Word a Windows obecně;
  • chatboty;
  • klasifikace, zpracování, automatizace zákaznických e-mailů;
  • bezpečnostní a monitorovací systémy (prevence hrozeb).

Závěrem je nutné zdůraznit, že GDPR striktně zakazuje provádět automatizovaná rozhodnutí založená na zpracování osobních údajů (např. snížení platu pro nízkou výkonnost, propuštění v případě nekalého jednání, opuštění pracoviště, nepovolené využití služebního vozidla atd.). Každá osoba má právo nebýt předmětem automatizovaného rozhodování, tj. výsledky automatizovaného zpracování musejí být přezkoumatelné fyzickým člověkem.

Problematika využití citlivých údajů k cílení reklamy

V současné době je běžnou praxí digitálního marketingu tzv. personalizace reklam. Společnosti využívají širokou škálu získaných osobních údajů ke zlepšení cílení svých reklamních kampaní. Problematikou z pohledu ochrany osobních údajů je zejména využití „citlivých údajů“, které subjekt údajů sám zveřejnil, např. na sociálních sítích.

Při zpracování osobních údajů musí být vždy dodržena zásada minimalizace, tj. zpracování osobních údajů musí být přiměřené a omezené na to, co je nezbytné pro stanovený účel. Citlivé údaje, tj. zvláštní kategorii osobních údajů (např. etnický původ, zdravotní stav, sexuální orientace, politické názory atd.) lze zpracovávat pouze v přesně definovaných situacích, např. se souhlasem subjektu údajů, nebo pokud je subjekt zveřejnil „zjevně“.

Spor týkající se personalizace reklamy řešil již i Soudní dvůr Evropské unie (SDEU). Spor se týkal společnosti Meta Platforms Ireland Ltd (Facebook), která pro účely personalizované reklamy zpracovávala citlivé údaje „zveřejněné“ subjektem údajů mimo její online platformu. Obchodní model společnosti Meta Platforms Ireland Ltd je založen na financování prostřednictvím online personalizované reklamy, která využívá informace o předchozím chování uživatele na internetu, jak v prostředí platforem Meta, tak i jiných platforem a internetových stránek. Dle závěrů SDEU provozovatel online platformy není oprávněn zpracovávat další citlivé údaje subjektu údajů získané mimo tuto platformu z aplikací a internetových stránek třetích stran za účelem jejich agregace a analýzy s cílem nabídnout jí personalizovanou reklamu.

Rozhodnutí SDEU ukazuje, že zpracovávání zvláštní kategorie osobních údajů vyžaduje přísnou regulaci a respektování práv subjektů údajů. Společnosti musí pří cílení reklamy důsledně dodržovat pravidla GDPR a nevyužívat citlivé údaje subjektů údajů bez zřetelného právního základu.

Při cílení reklamy musí společnosti:

  • dodržovat zásadu minimalizace – sbírat a zpracovávat pouze osobní údaje nezbytné pro konkrétní účel zpracování;
  • zajistit soulad s uděleným souhlasem, který musí být svobodný, konkrétní, informovaný a odvolatelný;
  • vyhnout se použití osobních údajů získaných z nepřímých zdrojů (osobní údaje získané mimo platformu nelze dále využít).

Porušení pravidel GDPR při cílení reklamy může, kromě právních rizik, negativně ovlivnit i pověst společnosti. Personalizace reklamy může mít vážné dopady na soukromí a důvěru uživatelů.

Dozorový úřad nemusí vždy uložit sankci či nápravné opatření

Každý dozorový úřad má podle čl. 83 Nařízení GDPR pravomoc ukládat pokuty správcům a zpracovatelům osobních údajů za porušení pravidel ochrany osobních údajů. Kromě toho může dozorový úřad přistoupit k uložení dalších nápravných opatření podle čl. 58 Nařízení GDPR, které zahrnují např.:

  • napomenutí správce nebo zpracovatele osobních údajů, jehož operace zpracování porušily GDPR;
  • nařízení uvedení operací zpracování do souladu s GDPR (předepsaným způsobem, ve stanovené lhůtě);
  • dočasné nebo trvalé omezení zpracování, včetně jeho zákazu;
  • nařízení přerušení toku údajů příjemci ve třetí zemi nebo mezinárodní organizaci.

V září 2024 Soudní dvůr Evropské unie ve věci C-768/21 řešil, zda dozorový úřad je či není povinen automaticky ukládat nápravná opatření nebo sankce v každém případě porušení zabezpečení osobních údajů. Při řešení této problematiky Soudní dvůr EU dospěl ve svém rozsudku ze dne 26. 9. 2024 k závěru, že dozorový úřad není povinen ukládat nápravná opatření a sankce ve všech případech porušení zabezpečení osobních údajů.

Dozorový úřad má možnost rozhodnout, zda bude ukládat sankce nebo nápravná opatření, ale není povinen to dělat ve všech případech porušení zabezpečení osobních údajů, pokud to není nezbytné k dosažení souladu s Nařízením GDPR. Tento přístup je v souladu s principem přiměřenosti a účelnosti, který je klíčový v aplikaci pravidel ochrany osobních údajů.

V praxi to znamená, že pokud správce nebo zpracovatel osobních údajů porušení zabezpečení osobních údajů zjistí, splní svou ohlašovací povinnost a účinně přijme nápravná opatření (tj. porušení bylo napraveno včas a nedošlo k závažným důsledkům pro subjekty údajů), dozorový úřad může rozhodnout, že sankce nebo další nápravná opatření nejsou nezbytná.

Patička pozvánek na jednání realizovaná online

V návaznosti na dotazy vznášené na našich školení GDPR níže uvádíme vhodnou formulaci patičky do pozvánek na jednání realizovaná online:

Tato událost využívá Microsoft Teams/název služby pod vedením organizátora schůzky. Zpracování dat, ke kterému dochází pro účely této události, podléhá podmínkám organizátora schůzky. odkaz na zásady ochrany osobních údajů poskytovatele služby, např. https://www.microsoft.com/cs-cz/privacy/privacystatement.

V rámci zaslané pozvánky je vhodné, kromě předmětu, agendy a odkazu pro připojení k jednání, uvést i kontakt pro příp. řešení technických potíží vzniklých při připojení na jednání:

Pokud budete mít jakékoliv technické potíže při připojení, neváhejte nás kontaktovat na ….. (doplnit telefon, e-mailovou adresu).

Ochrana osobních údajů při náboru zaměstnanců

Při náboru zaměstnanců musí být ochrana osobních údajů v souladu s GDPR zajištěna v každé fázi procesu. Pravidla a zásady, které je nutné dodržovat jsou:

  • Právní důvod pro zpracování osobních údajů – nejčastěji se jedná o plnění smlouvy nebo jednání o jejím uzavření, oprávněný zájem, např. pro posouzení kvalifikace kandidátů pro volnou pozici, nebo souhlas, který je nezbytný např. pro uchovávání životopisu neúspěšného uchazeče pro budoucí pracovní nabídky.
  • Minimalizace údajů – správce je oprávněn požadovat a zpracovávat pouze údaje, které jsou relevantní pro účel náboru a typ pracovní pozice. Typicky se jedná o identifikační údaje (jméno, adresa, kontaktní údaje), údaje o vzdělání a pracovních zkušenostech, další informace, které však musejí být relevantní pro danou pozici. Zbytečné údaje, jako rodné číslo, zdravotní stav nebo jiné citlivé údaje, by neměly být vyžadovány, pokud nejsou pro konkrétní pozici nezbytné.
  • Účelové omezení– osobní údaje uchazečů je správce oprávněn zpracovávat pouze k účelům souvisejícím s náborem a hodnocením jejich kvalifikace pro danou pozici. Údaje nelze využít pro jiné účely, pokud k tomu uchazeč nedá souhlas.
  • Transparentnost – správce je povinen uchazeče informovat o tom, jaké jejich osobní údaje budou zpracovávány a za jakým účelem a jaká práva uchazeč má ve vztahu ke svým osobním údajům. To lze zajistit např. prostřednictvím informačního dokumentu připojeného k náborovému procesu, kde bude jasně uvedeno:
    • jaké údaje budou shromažďovány,
    • kdo k nim bude mít přístup,
    • jak dlouho budou uchovávány,
    • jaká práva mají uchazeči (např. právo na přístup, opravu, výmaz atd.).
  • Zabezpečení osobních údajů– správce je povinen zajistit, aby osobní údaje byly chráněny proti neoprávněnému přístupu, zneužití, ztrátě nebo poškození. To zahrnuje jak opatření technická (např. šifrování elektronických dokumentů), tak opatření organizační (např. omezení přístupu k údajům pouze na pověřené osoby).
  • Doba uchovávání údajů – osobní údaje by neměly být uchovávány déle, než je nezbytné pro náborový proces. Pokud uchazeč nebyl přijat, jeho údaje by měly být zlikvidovány v přiměřené době (např. po ukončení výběrového řízení), pokud neexistuje důvod je uchovávat déle (např. souhlas pro uchování pro budoucí pozice).
  • Práva subjektů údajů – uchazeči mají právo:
    • na přístup k osobním údajům,
    • na opravu nepřesných údajů,
    • na výmaz údajů (pokud již nejsou potřebné),
    • na omezení zpracování nebo vznesení námitky proti zpracování,
    • na přenositelnost údajů.
  • Smlouvy se zpracovateli – pokud jsou osobní údaje uchazečů zpracovávány třetími stranami (např. náborovými agenturami), musí být uzavřena smlouva se zpracovatelem osobních údajů. Tento zpracovatel musí zajistit, že bude dodržovat všechny povinnosti dle GDPR.
  • Zvláštní kategorie osobních údajů – zpracování zvláštních kategorií údajů (citlivých údajů), jako jsou zdravotní údaje nebo údaje o členství v odborech, je možné jen v případech, kdy to vyžaduje zákon (např. zdravotní stav pro konkrétní pracovní pozici), nebo na základě výslovného souhlasu uchazeče.
  • Automatizované rozhodování a profilování – pokud jsou při náboru používány automatizované systémy rozhodování nebo profilování (např. SW nástroje pro hodnocení životopisů), musí být uchazeči o tom informováni a mají právo požádat o lidské přezkoumání rozhodnutí.

Kontrola dokladů totožnosti zahraničních zaměstnanců

Organizace zaměstnávající zahraniční zaměstnance musí dodržovat pravidla ochrany osobních údajů stanovená Nařízením GDPR, které platí pro všechny organizace v Evropské unii bez ohledu na to, odkud zahraniční zaměstnanci pocházejí.

V případě zaměstnání zahraničních pracovníků je velmi důležité provést důkladnou kontrolu jejich dokladů totožnosti z důvodu ověření platného právního statusu cizince pro práci na území České republiky (pracovní způsobilosti) a potvrzení neexistence příp. nesrovnalostí v jeho identitě.

Z pohledu dodržení pravidel ochrany osobních údajů a minimalizace rizika odpovědnosti za přestupek nelegálního zaměstnávání zahraničních zaměstnanců doporučujeme zaměstnavatelům dodržet následující kroky:

  • přijetí vnitřních předpisů týkajících se zaměstnávání zahraničních zaměstnanců;
  • realizace pravidelných školení zaměstnanců na podmínky zaměstnávání zahraničních zaměstnanců;
  • provedení kontroly nejméně dvou dokladů totožnosti zahraničních zaměstnanců (cestovní pas, vízum, povolení k pobytu atd.);
  • používání aplikace Regula Document Reader za účelem ověřování pravosti dokladů totožnosti zahraničních zaměstnanců;
  • lustrace zahraničních zaměstnanců ve veřejném rejstříku pravých dokladů totožnosti a cestovních dokladů online (PRADO).

NÚKIB vydal varování přes phishingem

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal varování před rozsáhlou phishingovou kampaní, která je zaměřena i na cíle v ČR. Dle vyjádření NÚKIB jsou v Česku již známy desítky obětí, útočníci se ve většině případech vydávají za velké nadnárodní společnosti, např. Amazon, Microsoft, Decathlon nebo české vládní instituce jako Ministerstvo vnitra, Vláda ČR, Policie ČR a další.

Phishingem je označována podvodná aktivita (typ kybernetického útoku), která se zaměřuje na získání citlivých informací (např. uživatelských jmen, hesel, bankovních údajů nebo dalších osobních informací) pomocí technik sociálního inženýrství. Phishingové kampaně obvykle zahrnují podvodné e-maily, zprávy nebo webové stránky, které se vydávají za legitimní instituce (např. úřady státní správy, banky, aukční weby, on-line platební portály, sociální sítě atd.). Útočník se snaží prostřednictvím podvodného e-mailu se žádostí o konkrétní informace získat důvěrná data oběti nebo spustit na zařízení oběti škodlivý kód.

Níže pro informaci uvádíme klíčové rysy phishingové kampaně:

  • Falešná komunikace – phishingové útoky jsou realizovány prostřednictvím falešných e-mailů, SMS zpráv či telefonních hovorů, elektronická komunikace se vydává za známou organizaci, která vyžaduje okamžité akce, např. změna hesla, obnovení účtu, ověření platební metody, vyzvednutí voucheru atd.
  • Podvodné webové stránky – podvodné e-maily, zprávy obvykle obsahují odkaz na webovou stránku vypadající jako oficiální webová stránka legitimní organizace. Cílem této aktivity je, aby uživatelé zadali na podvodné webové stránce své přihlašovací údaje, které pak mohou být zneužity.
  • Zasílání urgentních zpráv – phishingové kampaně často vytvářejí pocit naléhavosti a ohrožení, např. tvrzením, že účet oběti byl ohrožen, že platba selhala, bonus propadne, že je nutné rychle ověřit identitu apod.
  • Social engineering – phishingové útoky využívají psychologické manipulace, aby uživatele přiměly k rychlé akci. Velmi často záměrně obsahují matoucí nebo znepokojivé informace vytvářející tlak na provedení požadované akce.

Základní typy phishingových útoků:

  • Spear phishing – jedná se o cílený útok na konkrétní osobu nebo organizaci, často s přizpůsobenými informacemi, které působí důvěryhodněji.
  • Vishing (voice phishing) – phishing probíhající prostřednictvím telefonních hovorů, kdy útočníci předstírají, že jsou z banky nebo jiné důvěryhodné organizace.
  • Smishing – phishing probíhající prostřednictvím SMS zpráv, které obsahují odkazy nebo telefonní čísla, na které uživatelé reagují, aby odhalili citlivé informace.

Základní prevence a ochrana přes phishingovým útokem:

  • Ověřování zdrojů – pokud obdržíte podezřelý e-mail nebo zprávu, vždy ověřte pravost komunikace přímo u organizace, která ji údajně poslala.
  • Bezpečné chování na internetu – nikdy neklikněte na odkazy v podezřelých e-mailech nebo zprávách, vždy zkontrolujte URL adresu, zda odpovídá skutečnému webu.
  • Používání vícefaktorové autentifikace– tato ochrana pomáhá minimalizovat riziko zneužití přihlašovacích údajů.
  • Vzdělávání a školení – organizace by měly pravidelně školit své zaměstnance, jak rozpoznat phishingové útoky, a upozorňovat je na nebezpečné praktiky.

Phishingové útoky mohou vést k finančním ztrátám, ztrátě důvěry zákazníků, poškození reputace organizace nebo zneužití citlivých údajů pro další podvodné aktivity. V některých případech může být nutné podniknout právní kroky proti útočníkům a vyšetřovat způsob, jakým byly údaje získány.

Doporučení NÚKIB: „V případě jakéhokoli podezření na kompromitaci či záchyt škodlivého e-mailu neváhejte kontaktovat bezpečnostní tým vaší instituce, případně i přímo NÚKIB na adrese incident@nukib.gov.cz“.

Počítačová a informační gramotnost a informatické myšlení žáků v ČR dle ICILS

Počítačová a informační gramotnost a informatické myšlení jsou základním pilířem ochrany osobních údajů. Bez správných návyků je riziko zneužití osobních údajů řádově vyšší až velmi pravděpodobné. Z toho důvodu připojujeme i níže uvedené informace, které považujeme za velmi znepokojivé. Zahrnutím tohoto tématu chceme upozornit na důležitost vzdělávání a informovanosti o bezpečném používání technologií a ochraně soukromí již ve školách a samozřejmě i dále.

Stav počítačové a informační gramotnosti (tj. schopnosti efektivně a kriticky využívat ICT k vyhledávání informací, analýze dat, komunikaci a řešení problémů) a informatického myšlení (tj. schopnosti aplikovat principy informatiky, jako jsou algoritmy, programování, logické myšlení a modelování problémů) žáků ve věkové kategorii 14 let je každoročně posuzován Mezinárodní asociací pro hodnocení výsledků vzdělávání (IEA) v rámci studie ICILS (International Computer and Information Literacy Study). ICILS prostřednictvím dotazníkového šetření sbírá i širokou škálu kontextových informací od ředitelů škol, učitelů a ICT koordinátorů.

V České republice jsou testovanou skupinou žáci 8. ročníku základních škol a odpovídajících ročníků víceletých gymnázií. Do hlavního sběru dat ICILS bylo v loňském roce v Česku zapojeno 220 škol – 8 100 žáků.

Níže uvádíme stěžejní závěry poznatků o dovednostech žáků v ČR v r. 2023 v oblasti počítačové a informační gramotnosti a informatického myšlení, které jsou shrnuty v Národní zprávě ICILS 2023 zveřejněné na webových stránkách České školní inspekce:

  • průměrný výsledek českých žáků v počítačové a informační gramotnosti se od r. 2013 statisticky významně zhoršil – více než čtvrtina českých žáků nedosáhla v testu počítačové a informační gramotnosti na základní úroveň;
  • jak počítačová a informační gramotnost, tak i informatické myšlení souvisely se socioekonomickým zázemím žáků – socioekonomicky znevýhodnění žáci dosahovali nižšího průměrného výsledku;
  • žáci z větších základních škol (s 575 a více žáky) dosahovali vyššího průměrného výsledku než žáci z menších základních škol;
  • žáci základních škol v průměru zaostávali za žáky víceletých gymnázií téměř o tři čtvrtiny dovednostní úrovně v testu počítačové a informační gramotnosti a téměř o jednu dovednostní úroveň v testu informatického myšlení;
  • sebedůvěra českých žáků při používání ICT patří k nejnižším ze všech zemí EU;
  • čeští žáci ve srovnání s průměrem EU vnímají v podprůměrné míře přínosy ICT pro společnost, současně vyjadřují nejsilnější postoje vůči negativním společenským dopadům ICT.

S ohledem na závěry zveřejněné v Národní zprávě ICILS 2023 poukazujeme na případně možné nebezpečné chování žáků základních škol při používání internetu / sociálních sítí z pohledu ochrany osobních údajů.

Předávání dat do USA lze i nadále realizovat na základě EU-U.S. Data Privacy Framework

V roce 2023 přijala Evropská komise Prováděcí rozhodnutí podle Nařízení Evropského parlamentu a Rady (EU) 2016/679 o odpovídající úrovni ochrany osobních údajů poskytované Rámcem ochrany soukromí mezi EU a USA (Data Privacy Framework – DPF). Společnosti zapsané v programu Rámce ochrany soukromí mohou předávat osobní údaje do USA za stejných podmínek jako jakékoliv jiné předání osobních údajů v rámci EU, resp. EHP (tj. předávání osobních údajů nemusí být doprovázeno žádnými doplňujícími opatřeními).

Rámec ochrany soukromí mezi EU a USA prošel v září 2024 prvním přezkumem Evropské komise, jehož výsledkem je, že jej mohou evropské organizace i nadále využívat k legálnímu předávání dat do USA. Závěry prvního přezkumu potvrdily, že americké orgány zavedly nezbytné struktury a postupy k jeho účinnému fungování. Evropská komise zdůraznila důležitost dalších kroků, např. proaktivního přístupu americké Federální obchodní komise k monitorování a prosazování souladu nebo vypracování společných pokynů s EU na klíčové požadavky.

ÚOOÚ: Realizace práva na informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím v kontextu ochrany osobních údajů a soukromí

Úřad pro ochranu osobních údajů uspořádal 9. října 2024 odborný seminář určený pro Pověřence pro ochranu osobních údajů. Seminář byl věnován tématům spojeným s realizací práva na informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.

Seminář se zaměřil na právo na informace v interakci s právem na ochranu osobních údajů a právem na soukromí, především:

  • test proporcionality,
  • test veřejného zájmu,
  • anonymizaci,
  • pseudonymizaci,
  • informování dotčených osob.

Prezentace ze semináře je dostupná na webových stránkách ÚOOÚ https://uoou.gov.cz/media/seminare-uoou/pravo-na-informace-9102024/realizace-prava-na-informace-v-kontextu-ochrany-osobnich-udaju-a-soukromi-09-10-2024.pdf.

Falešné webové stránky se vydávají za weby státní správy

Falešné weby, které se vydávají za Portál občana, portál Identity občana nebo Portál veřejné správy, zneužívají přihlašovací údaje do internetového bankovnictví. Odkazy na takové podvodné stránky se objevují v internetových vyhledávačích nebo rozesílaných SMS a e-mailech.

Při zakládání nové Identity občana nebo využívání Portálu občana či Portálu veřejné správy je nezbytná kontrola odkazů a adres, přes které občan nebo úředník na stránky přistupuje. Jediné správné adresy uvedených portálů státní správy jsou https://www.identitaobcana.cz/, https://obcan.portal.gov.cz/https://portal.gov.cz/.

Odkazy na falešné webové stránky se již objevují i přímo v internetových vyhledávačích, nejen v SMS či e-mailech, které podvodníci posílají. Doporučujeme nikdy neotvírat odkazy na státní portály, které jsou zaslány z nedůvěryhodných nebo neznámých zdrojů. Vhodné je uložit si odkazy na oficiální weby státní správy do počítače či telefonu a neotvírat odkazy na tyto stránky skrze reklamy v internetových vyhledávačích, v obdržených SMS či e-mailech od neznámých zdrojů.

Další informace od Digitální a informační agentury k této problematice jsou uvedeny na webové stránce https://portal.gov.cz/kam-dal/pozor-na-podvodnou-sms.

Zpracování osobních údajů v knize návštěv

Při vedení knihy návštěv (např. na vrátnici, recepci organizace) je nutné dodržovat pravidla ochrany osobních údajů. Jedná se zejména o tyto hlavní zásady:

  • Stanovený právní důvod zpracování: Jedná se nejčastěji o oprávněný zájem ochrany svěřeného majetku a bezpečnosti osob, ve vybraných případech se může jednat i o zákonnou povinnost (objekty se zvýšenou ostrahou).
  • Účelové omezení: Osobní údaje musí být shromažďovány pouze pro konkrétní, legitimní a jasně stanovené účely. Osobní údaje v knize návštěv nesmějí být využity za žádným jiným účelem než zajištění bezpečnosti, ani ke sledování chování osob nesouvisející se zajištěním bezpečnosti.
  • Minimalizace údajů: V knize návštěv evidovat minimum nezbytných osobních údajů, např. jméno, datum a čas návštěvy, případně subjekt či účel návštěvy. Nadbytečné informace, jako rodné číslo nebo adresa trvalého bydliště, nejsou pro tento účel nezbytné a neměly by být požadovány.
  • Transparentnost: Osoby musí být informovány o tom, jaké údaje se zpracovávají a za jakým účelem. To lze zajistit např. umístěním informačního textu u knihy návštěv, který bude vysvětlovat, jak budou údaje použity, jak dlouho budou uchovávány, kdo k nim bude mít přístup a jaká práva má subjekt údajů (např. právo na přístup k údajům, opravu či výmaz).
  • Zabezpečení údajů: Osobní údaje musí být chráněny proti neoprávněnému přístupu, ztrátě nebo zneužití. Fyzická kniha návštěv by měla být např. uložena na bezpečném místě, kde k ní nemají přístup nepovolané osoby a přístup je umožněn pouze v případě incidentu a po schválení odpovědnou osobou. Elektronické verze by měly být chráněny heslem nebo jiným způsobem šifrovány.
  • Doba uchovávání: Osobní údaje nesmí být uchovávány déle, než je nezbytné pro účely, pro které byly shromážděny. V případě knihy návštěv je tedy třeba stanovit přiměřenou dobu uchovávání údajů (jednotky měsíců) a po jejím uplynutí osobní údaje nevratně zlikvidovat. Uchovávat déle lze pouze ty záznamy / části knihy návštěv, které jsou potřebné k řešení konkrétních problémů nebo sporů.
  • Práva subjektů údajů: Osoby, jejichž údaje jsou v knize návštěv vedeny, mají právo na přístup ke svým údajům, jejich opravu, výmaz a další práva dle Nařízení GDPR. Je třeba zajistit, aby tyto osoby mohly svá práva uplatnit.
  • Zpracovatelská smlouva: Pokud je kniha návštěv vedena externí firmou (např. při outsourcingu recepčních služeb), je nutné uzavřít smlouvu se zpracovatelem osobních údajů, která zajistí dodržování povinností dle Nařízení GDPR.

Označení obchodních sdělení

Úřad pro ochranu osobních údajů v minulosti udělil mnoha organizacím pokutu za spáchání několika přestupků při rozesílání obchodních sdělení. Dle vyjádření ÚOOÚ je nezbytné nejen, aby adresát předem souhlasil se zasíláním obchodních sdělení, ale také, aby obchodní charakter odeslané zprávy byl jasný již z její hlavičky, ne až z jejího obsahu, aby jej adresát mohl identifikovat bez nutnosti přečíst si celou zprávu.

Označení obchodních sdělení definuje zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti) v ustanovení § 7 odst. 4 písm. a) následovně: „Zaslání elektronické pošty za účelem šíření obchodního sdělení je zakázáno, pokud tato není zřetelně a jasně označena jako obchodní sdělení.“.

Povinnost označit obchodní sdělení zřetelně a jasně tak, aby bylo adresátovi na první pohled zřejmé, že se jedná o obchodní sdělení, ukládá tedy i aktuálně platná legislativa. Ustanovení § 7 zákona o některých službách informační společnosti by nebylo naplněno, pokud by šiřitel obchodního sdělení zprávu jasně neoznačil na jejím začátku a obchodní charakter zprávy by byl jasný až na základě jejího obsahu.

Označování obchodních sdělení musí být v souladu s českou legislativou a Nařízením GDPR, které klade důraz na ochranu osobních údajů a transparentnost komunikace.

  • Jednoznačné označení obchodního sdělení: Obchodní sdělení musí být jasně a jednoznačně identifikovatelné. Příjemce musí ihned poznat, že se jedná o obchodní sdělení, tedy o nabídku zboží, služeb nebo propagaci firmy. V případě elektronické komunikace (např. e-mailů) je vhodné:
    • v předmětu e-mailu jasně uvést, že se jedná o obchodní sdělení (např. přidáním „obchodní sdělení“ nebo podobného označení);
    • zprávu začít či jinak zvýraznit, aby byl zjevně na první pohled vidět obchodní charakter zprávy.
  • Souhlas se zasíláním obchodních sdělení: Podle GDPR je pro zasílání obchodních sdělení na e-mail nebo jiné kontakty osobní povahy (např. mobilní telefon) nutný souhlas příjemce. Tento souhlas musí být:
    • dobrovolný (nelze ho vynutit);
    • informovaný (příjemce musí být informován, jaká sdělení mu budou zasílána a jak může souhlas odvolat);
    • jednoznačný (souhlas nesmí být skrytý, např. ve všeobecných obchodních podmínkách).
  • Výjimka z nutnosti souhlasu platí, pokud jde o sdělení zasílané stávajícím zákazníkům v souvislosti s podobnými produkty či službami, které si u daného subjektu již zakoupili (právní důvod „oprávněný zájem přímého marketingu“).
  • Možnost odhlášení (OPT-OUT): Každé obchodní sdělení musí obsahovat snadný a jasně viditelný způsob, jak se příjemce může z odběru odhlásit. Tento postup nesmí být složitý ani zatěžující pro příjemce. Může to být např.:
    • odhlášení prostřednictvím odkazu v e-mailu, který vede na stránku, kde lze snadno zrušit odběr;
    • odhlášení zasláním e-mailu nebo odpovědi, ve které příjemce vyjádří přání již další zprávy nedostávat.
  • Identifikace odesílatele: Obchodní sdělení musí obsahovat informace o odesílateli, které jsou snadno dohledatelné a identifikovatelné. To znamená:
    • jméno nebo obchodní společnost (např. název společnosti);
    • adresa nebo jiné kontaktní údaje (např. e-mail nebo telefon);
    • kontakt za účelem odvolání souhlasu nebo získání dalších informací o zpracování osobních údajů.
  • Zákaz skrytých či zavádějících informací: Obchodní sdělení nesmí být klamavé ani zavádějící. V předmětu e-mailu, SMS zprávy nebo jiných formách sdělení nesmí být informace, které by mohly příjemce uvést v omyl ohledně obsahu zprávy nebo identity odesílatele. Např.:
    • nevhodné používání „Re:“ nebo „Fwd:“ v předmětu zprávy, pokud se nejedná o odpověď na předchozí komunikaci;
    • zamlčování skutečnosti, že jde o reklamu nebo nabídku.

Aplikace levných e-shopů sbírají nadměrné množství uživatelských dat včetně osobních údajů

Úřad pro ochranu osobních údajů a Národní úřad pro kybernetickou a informační bezpečnost vydaly společné prohlášení upozorňující na problematiku e-shopových aplikací, které sbírají nadměrné množství dat včetně osobních údajů. Nebezpečné jsou zejména internetové obchody nabízející neobvykle nízké ceny zboží. U těchto e-shopů existuje reálná možnost, že jejich hlavním cílem není finanční zisk, ale sběr velkého množství dat.

Při nakupování prostřednictvím mobilních aplikací levných e-shopových obchodů (např. Temu, Shein, Wish, Allegro, AliExpress atd.) bohužel nastává pro uživatele riziko, že přijde o své soukromí, protože e-shop při registraci vyžaduje nastavit nestandardní oprávnění v zařízení uživatele a vyplnění velkého množství uživatelských dat a osobních údajů, které se jeví pro účely nákupu zcela nadbytečné (např. oprávnění pro přístup k poloze, kontaktům, fotografiím atd.). NÚKIB doporučuje u těchto typů e-shopů dávat pozor již při registraci / přihlašování a nepropojovat aplikaci s primárním účtem na sociální síti na Googlu či Facebooku. Aplikacím má uživatel povolit pouze nezbytná oprávnění pro jejich fungování a poskytnout jim o sobě co nejméně informací, aplikace s nadstandardními právy se totiž může v zařízení chovat v podstatě jako virus.

Základní zásady ochrany osobních údajů v rámci e-shopových aplikací:

  • Ověřit oprávnění, které aplikaci udělujete (buďte obezřetní, pokud se aplikace táže na přístup k poloze, kontaktům, videím, fotografiím atd.).
  • Přečíst zásady zpracování osobních údajů a překontrolovat, zda jsou účely zpracování přiměřené, zda dokument popisuje dostatečná práva nakupujícího, kde společnost sídlí (EU / mimo EU) atd.
  • Neinstalovat aplikaci do zařízení, v němž pracujete s citlivými údaji prostřednictvím mobilního nebo internetového bankovnictví, případně v rámci systému státní správy (např. Portál občana).

Dle rady odborníka z NÚKIB je nejbezpečnější cestou vytvořit si separátní e-mail a separátní účet používaný pouze pro e-shopy, a při přihlašování si dávat pozor na podmínky, které uživatel při vytváření účtu přijímá (např. povolení přístupu k sociálním sítím). Nebo použít danou aplikaci pouze pro jednorázový nákup a poté ji vždy odinstalovat.

Akt o umělé inteligenci vs. GDPR

1. srpna 2024 vstoupil v platnost Akt o umělé inteligenci (AIA). Přímá účinnost AIA nastane dva roky od jeho platnosti, tedy od srpna 2026, avšak některé části nařízení budou účinné již dříve.

Pravidla AIA dopadnou na i subjekty, které využívají systémy umělé inteligence pro zpracování osobních údajů. Některé povinnosti se přitom částečně překrývají i s GDPR, např. povinnost poskytnout vysvětlení automatizovaného rozhodování, povinnost zpracovat posouzení shody / vlivu na ochranu osobních údajů.

Problematiku automatického rozhodování řeší článek 86 AIA a článek 22 Nařízení GDPR. Obě tato ustanovení požadují, aby bylo v určitých situacích osobě, která byla dotčena výstupem určitého algoritmu, poskytnuto vysvětlení, jak daný algoritmus fungoval. Vždy ale musí dojít k posouzení, zda na daný případ dopadají oba dva právní předpisy najednou, nebo dotčená osoba má nárok na vysvětlení jenom na základě jednoho právního předpisu.

Pokud bude vysoce rizikový systém umělé inteligence používán ke zpracování osobních údajů, bude nutné vypracovat dvojí posouzení daného systému umělé inteligence – posouzení shody podle článku 43 AIA a posouzení vlivu na ochranu osobních údajů podle článku 35 Nařízení GDPR. Rozsah obou posouzení je odlišný, a to navzdory tomu, že oba procesy zahrnují zhodnocení rizik souvisejících s konkrétními systémy umělé inteligence. Pokud je správce (podle GDPR) a poskytovatel nebo případně jiná povinná osoba (podle AIA) stejný subjekt, je vhodné, aby posuzování shody vysoce rizikového systému umělé inteligence s požadavky stanovenými AIA tvořilo základ pro posouzení vlivu na ochranu osobních údajů (dle Nařízení GDPR).

Pojem poskytovatel podle AIA se nepřekrývá s pojmem správce či zpracovatel podle GDPR. Zatímco poskytovatel musí provést posuzování shody vysoce rizikového systému umělé inteligence s požadavky stanovenými AIA, je na správci, aby provedl posouzení vlivu na ochranu osobních údajů.

Revize / zpracování dokumentace ke kamerovým systémům dle Metodiky ÚOOÚ

V návaznosti na často vznášené dotazy na naši společnost plnící roli Pověřence pro ochranu osobních údajů pro subjekty veřejného i soukromého sektoru doporučujeme všem subjektům, kteří provozují kamerový systém, provést revizi systému ochrany osobních údajů a související dokumentace k provozovanému kamerovému systému.

Pokud provozovaná kamera zachycuje fyzické osoby způsobem umožňující je identifikovat / rozeznat, tj. postava v záběru zabírá více jak 25 % výšky obrazu, musí mít subjekt pro provozovanou kameru zpracovanou příslušnou dokumentaci včetně balančního textu (analýza nezbytnosti instalace a provozu kamery, klasifikace kamery podle míry porušení práv a zájmů subjektů údajů, zdůvodnění doby uchování kamerového záznamu atd.) dle obecné metodiky ke kamerovým systémům vydané Úřadem pro ochranu osobních údajů – Metodika k návrhu a provozování kamerových systémů z hlediska zpracování a ochrany osobních údajů, příp. dle doporučení ÚOOÚ ke kamerovým systémům zohledňující specializované / oborové zpracování osobních údajů kamerovými systémy (např. ve školství, při použití bezpilotních letadel apod.).

Společnost Equica, a.s. Vám nabízí své poradenské služby při revizi a aktualizaci / zpracování povinné dokumentace provozovaného kamerového systému dle Metodiky ÚOOÚ ke kamerovým systémům, tj. aktualizaci či zpracování následujících dokumentů:

  • Záznam o činnostech zpracování podle článku 30 Nařízení GDPR.
  • Balanční test – analýza nezbytnosti nasazení kamerového systému.
  • Analýza povinnosti zpracovat posouzení vlivu na ochranu osobních údajů (DPIA) pro kamerový systém (příp. povinnost zpracovat DPIA pro provozovaný kamerový systém bude stanovena na základě provedené analýzy).
  • Směrnice k provozování kamerového systému.
  • Doklady o udělení souhlasu subjektu údajů (v případě, že právním základem zpracování je souhlas subjektu údajů).
  • Zajištění informovanosti subjektů údajů a zajištění plnění práv subjektů údajů.
  • Dokumentace k porušení zabezpečení osobních údajů.
  • Kontrola smluvní dokumentace ke kamerovému systému včetně zpracovatelské smlouvy.
  • Kontrola projektové dokumentace kamerového systému (dokumentace dodaná dodavatelem kamerového systému).

Zpracování osobních údajů prostřednictvím kamer umístěných na bezpilotních letadlech

V oblasti používání kamerových systémů Úřad pro ochranu osobních údajů specifikoval postup správců a zpracovatelů osobních údajů pro kamerové systémy umístěné na bezpilotních letadlech (dronech) – viz Doporučení ÚOOÚ č. 01/2024 ke zpracování osobních údajů prostřednictvím záznamu z kamer, kterými jsou vybavena bezpilotní letadla z 8. července 2024.

Ochranu osobních údajů v případě provozu bezpilotních letadlech je nezbytné řešit v případě, že bezpilotní letadlo obsahuje technické zařízení umožňující buď online přenos záběrů oblastí přes které přelétává, nebo umožňuje pořizování záznamu oblastí přes které přelétává. Pokud se totiž na pořízeném záběru vyskytují identifikovatelné fyzické osoby, a to včetně ryze soukromého prostředí, ve kterém se tyto osoby pohybují, nebo které obývají (zahrady, byty apod.), může docházet ke zpracování osobních údajů ve smyslu Nařízení GDPR.

Za porušení GDPR při provozu bezpilotních letadel hrozí výrazně vyšší pokuty než za porušení sektorového zákona č. 49/1997 Sb., o civilním letectví.

Zasílání elektronické výplatní pásky z pohledu GDPR

Problematiku poskytnutí výplatní pásky zaměstnanci stanovuje zákon č. 262/2006 Sb., zákoník práce. Dle § 142 odst. 5 zákoník práce definuje, že zaměstnavatel je povinen zaměstnanci vydat písemný doklad, nicméně otázku samotného doručování ponechává již nezodpovězenou, respektive na obecné úpravě.

Z pohledu ochrany osobních údajů je zasílání výplatní pásky na pracovní e-mail zaměstnance v pořádku, pokud jsou zaměstnavatelem a zaměstnancem dodržena základní pravidla při definování právního základu této životní situace. Jedná se zejména o pravidlo šifrování výplatní pásky heslem, které zná daný zaměstnanec a mzdová účetní. Cílem šifrování výplatní pásky je ochrana uváděných osobních údajů, tj. v případě, že se elektronická výplatní páska ocitne mimo přístup adresáta, nesmí být jednoduše čitelná.

Pokud je elektronická výplatní páska přístupná jen po zadání hesla, nepředstavuje archivace a přístup do e-mailové schránky zaměstnance automaticky zásah do jeho práv, i když e-mailová schránka obsahuje zašifrované výplatní pásky.

Problematika biometrických údajů zpracovávaných v rámci docházky

V rámci konzultační činnosti za uplynulý rok se Úřad pro ochranu osobních údajů zabýval i problematikou biometrických údajů zpracovávaných v rámci docházky.

Biometrické údaje, včetně otisků prstů, jsou podle čl. 9 odst. 1 Nařízení GDPR považovány za zvláštní kategorie osobních údajů, přičemž platí, že jejich zpracování je obecně zakázáno, pokud nejsou splněny výjimky uvedené v čl. 9 odst. 2 Nařízení GDPR.

ÚOOÚ se dle vydaného vyjádření přiklání k nevyužívání otisků prstů v docházkovém systému: „Jelikož právním řádem České republiky není zpracování otisků prstů prostřednictvím docházkového systému za uvedeným účelem povoleno, nelze v České republice podle ustanovení článku 9 odst. 2 písm. b) obecného nařízení zpravidla tyto údaje zpracovávat. Ani hygienické ohledy (kontaminované klíče, karty) nejsou dostatečným důvodem pro zavedení ověřování za pomoci otisků prstů, které mj. může znamenat obdobné riziko kontaminace.“

K možnosti využití souhlasu zaměstnance k zpracování otisků prstů v rámci docházkového systému ÚOOÚ vydal následující vyjádření: „Udělení výslovného souhlasu podle ustanovení článku 9 odst. 2 písm. a) obecného nařízení se zpracováním biometrických údajů v tomto případě s ohledem na přísné podmínky stanovené především článkem 4 bod 11 a článkem 7 citovaného nařízení není vhodné. V praxi je z pohledu správce především obtížně naplnitelná podmínka svobodného projevu vůle subjektu údajů, jelikož se v rámci uvedené problematiky v drtivé většině případů jedná o zaměstnance, kteří jsou ve vztahu vůči zaměstnavateli obecně považováni za slabší stranu. Rovněž je vzhledem k účelu docházkového systému problematická realizace práva subjektu údajů udělený souhlas kdykoliv odvolat tak snadno, jako byl udělen.“

Byla spuštěna pilotní verze veřejné části Portálu NÚKIB

Připravovaný nový zákon o kybernetické bezpečnosti by měl nabýt účinnosti 1. ledna 2025. Návrh tohoto zákona, který v polovině července 2024 projednala a schválila vláda České republiky, je již zveřejněn v elektronické knihovně legislativního procesu (eKlep).

V rámci příprav na novou legislativu o kybernetické bezpečnosti Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) začátkem srpna 2024 spustil pilotní verzi veřejné části Portálu NÚKIB, který bude dle připravované právní úpravy sloužit jako hlavní komunikační kanál mezi NÚKIB a povinnými subjekty. Do nabytí účinnosti nového zákona o kybernetické bezpečnosti je neveřejná část Portálu NÚKIB i nadále pro aktuálně povinné subjekty dobrovolná.

Od ledna 2025 budou povinné subjekty prostřednictvím Portálu NÚKIB plnit zákonné požadavky a také spolupracovat, sdílet informace a posilovat tak bezpečnost kybernetického prostoru České republiky.

Cílem spuštěné pilotní verze veřejné části Portálu NÚKIB je otestovat funkcionality a uživatelskou přívětivost celé platformy, případné připomínky mohou povinné subjekty zasílat na e-mailovou adresu portal@nukib.gov.cz.

Osvěta v oblasti kybernetické bezpečnosti

Národní úřad pro kybernetickou a informační bezpečnost na svém vzdělávacím portálu NÚKIB formou kurzů a prezentací šíří osvětu v oblasti kybernetické bezpečnosti. Nabízené kurzy jsou zacíleny jak na státní instituce, tak i veřejnost, a to včetně dětí.

V rámci nabízených kurzů NÚKIB poskytuje nejen kurzy základů rizikového chování na internetu, ale také kurzy o kybernetické bezpečnosti určené pro úředníky územních samosprávných celků, zaměstnance škol, zaměstnance ve zdravotnictví, pracovníky prevence atd.

NÚKIB v rámci nabízených kurzů šíří formou poutavých prezentací, her, povídek, pohádek či komiksů osvětu v oblasti kybernetické bezpečnosti i pro předškoláky a školáky základních a středních škol. Jedná se o např. o Kyber pohádky pro předškoláky – klasické pohádky pro kybernetické století, Vanda a Eda v Onl@jn světě – osvětové povídky o hrách, sdílení fotek a zlobení na internetu pro žáky 1. až 3. třídy ZŠ, Jsem netvor na střední – osvětový videokurz o lidech a digitálních technologiích ve verzi pro 1. a 2. ročníky neinformatických SŠ a další (viz https://osveta.nukib.gov.cz/local/dashboard/).

Pravidla ochrany osobních údajů při využívání cloudu

V současné době stále větší množství organizací / společností využívá cloud computing služby, v rámci kterých poskytovatel cloudových služeb a produktů propůjčuje danému subjektu výpočetní výkon svých serverů.

Využití cloud computing služeb umožňuje výrazně změnit přístup organizace / společnosti k ICT jak z hlediska organizace, provozu a využívání, tak i z pohledu ekonomického, ale samozřejmě přináší i určitá rizika, a to včetně ochrany osobních údajů.

Mezi stěžejní pravidla GDPR při využívání cloudu patří zejména následující:

  • Vyjasnění role správce osobních údajů a role zpracovatele osobních údajů.
  • Uzavření zpracovatelské smlouvy s poskytovatelem cloudového řešení.
  • Identifikace a vyhodnocení případných rizik ochrany osobních údajů.
  • Provedení analýzy, ze které vyplyne příp. povinnost provést posouzení vlivu na ochranu osobních údajů (DPIA) dle čl. 35 Nařízení GDPR.
  • Zajištění transparentnosti zpracování osobních údajů.
  • Poskytnutí informace o způsobu zpracování osobních údajů subjektům údajů.
  • V případě předávání osobních údajů do třetích zemí (tj. zemí mimo EU, resp. EHP), musí být splněny specifické podmínky podle kap. 5 Nařízení GDPR.
  • Orgány veřejné moci musí dodržovat pravidla a podmínky tzv. cloudových vyhlášek.

Při zpracování osobních údajů prostřednictvím cloudového řešení dochází nejčastěji k těmto bezpečnostním rizikům:

  • nedostatečná kontrola nad osobními údaji;
  • chybějící informace o tom, kde a kým jsou osobní údaje zpracovávány;
  • chybějící informace o tom, po jakou dobu jsou osobní údaje uchovávány;
  • nekontrolovaný přístup k osobním údajům,
  • absence účinné zahraniční právní ochrany subjektu údajů.

Zohlednění specializovaného / oborového zpracování osobních údajů kamerovými systémy

V únoru 2024 vydal Úřad pro ochranu osobních údajů metodiku ke kamerovým systémům – Metodiku k návrhu a provozování kamerových systémů z hlediska zpracování a ochrany osobních údajů, která na obecné úrovni stanovuje a popisuje postup správců a zpracovatelů osobních údajů při zřízení a provozovaní kamerových systémů.

Po vydání této obecné metodiky ke kamerovým systémům se ÚOOÚ rozhodl zohlednit i specializované / oborové zpracování osobních údajů kamerovými systémy a specifikovat postup správců a zpracovatelů osobních údajů podrobnějším popisem týkajícím se konkrétních typově shodných zařízení, např. ve školství, zdravotnictví, obcích apod.

Jako první specifický postup ÚOOÚ zpracoval doporučení ke kamerovým systémům ve školství. V červnu 2024 probíhala veřejná konzultace k zpracovanému návrhu Doporučení ke kamerovým systémům umístněným ve školách a školských zařízeních, nyní ÚOOÚ vypořádává vznesené připomínky a v průběhu léta vydá finální podobu tohoto doporučení.

E-mailová adresa a telefonní číslo zaměstnance z hlediska GDPR

Dle GDPR je e-mailová adresa a telefonní číslo zaměstnance osobním údajem. Zaměstnavatel musí být proto velmi obezřetný při nakládání s e-mailovou adresou a telefonním číslem zaměstnance (potažmo s daty obsaženými v e-mailové schránce či uloženými v mobilním telefonu / na SIM kartě), a to jak z pohledu ochrany osobnostních práv zaměstnance, tak ochrany osobních údajů.

Z pohledu GDPR je nezbytné u e-mailové schránky rozlišit osobní e-mailovou schránku a obecnou e-mailovou schránku:

  • Osobní e-mailová schránka – jedná se o e-mailovou adresu sloužící výhradně pro osobní účely dané osoby a dále o pracovní e-mailovou adresu nesoucí identifikační údaje zaměstnance (e-mailová adresa ve formě prijmeni@organizace.cz), neboť tato e-mailová adresa je sice učena k výkonu pracovní činnosti, ale byla zřízena zaměstnavatelem výhradně pro konkrétního zaměstnance. Osobní e-mailová adresa je ve smyslu GDPR považována za osobní údaj, jelikož je adresa spojena s konkrétní osobou / zaměstnancem.
  • Obecná e-mailová schránka – jedná se o obecnou e-mailovou adresu (e-mailová adresa ve formě oddeleni@organizace.cz nebo office@organizace.cz), e-mailová adresa neobsahuje identifikační údaje konkrétního zaměstnance. Tento typ pracovní e-mailové adresy zpravidla není osobním údajem, tj. po odchodu zaměstnance může zaměstnavatel prověřit obsah dané e-mailové schránky a svěřit její správu jinému zaměstnanci.

Po ukončení pracovního poměru by měl zaměstnavatel osobní e-mailovou schránku bývalého zaměstnance smazat. S ukončením pracovní smlouvy přestane totiž platit právní důvod ke zpracování osobních údajů zaměstnance založený na plnění uzavřené pracovní smlouvy. Osobní e-mailová schránka bývalého zaměstnance by tedy měla být smazána ihned se skončením pracovního poměru a e-maily zaslané do této schránky by se tak měly odesílatelům vracet jako nedoručitelné.

Zaměstnavatel smí po ukončení pracovního poměru e-mailovou schránku bývalého zaměstnance archivovat po přiměřenou dobu (je doporučena doba do tří měsíců po ukončení pracovního poměru), ale pouze v případě, když má zaměstnavatel oprávněný zájem spočívající zejména v zachování kontinuity práce a agendy bývalého zaměstnance. V průběhu archivace by měli odesílatelé e-mailů do této schránky obdržet automatickou odpověď s informací o nové kontaktní osobě. Po uplynutí stanovené přiměřené doby by měl zaměstnavatel smazat obsah e-mailové schránky bývalého zaměstnance včetně schránky samotné tak, aby nadále nebylo možné do ní doručovat e-maily.

Prohlížení e-mailů bývalého zaměstnance musí být podloženo oprávněným zájmem zaměstnavatele ve vztahu k pracovním e-mailům zaměstnance. Pokud jsou součástí e-mailové schránky zaměstnance i soukromé e-maily, není zaměstnavatel v žádném případě oprávněn je číst. Zaměstnavatel při prohledávání e-mailové schránky nesmí procházet každý jednotlivý e-mail, který se v dané schránce nachází, měl by pro vyhledávání využívat např. klíčových slov, případně vytipovat okruh e-mailů dle časového rámce, odesílatele či předmětu e-mailu.

Dle GDPR není přípustné jakékoliv odpovídání na příchozí e-maily z e-mailové adresy bývalého zaměstnance či automatické přesměrování příchozích e-mailů z e-mailové schránky bývalého zaměstnance do e-mailové schránky jiné osoby.

V případě pracovního telefonního čísla bývalého zaměstnance, které lze spojit s konkrétní osobou zaměstnance, musí zaměstnavatel postupovat také dle Nařízení GDPR, neboť se jedná o osobní údaj.

Po ukončení pracovního poměru zaměstnance je doporučeno pracovní telefonní číslo zaměstnance deaktivovat, příp. učinit taková opatření, aby nebylo s bývalým zaměstnancem nadále spojováno (např. smazáním veškerých odkazů na kontaktní údaj bývalého zaměstnance z webových stránek, informováním o novém uživateli daného telefonního čísla atd.).

Data uložená v mobilním telefonu včetně dat na SIM kartě by měla být s ukončením pracovního poměru zaměstnance ihned vymazána. Zachování těchto dat pro účely případného přístupu k nim by mělo být možné pouze za předpokladu existence oprávněného zájmu zaměstnavatele (např. získání nezbytných obchodních kontaktů) a při stanovení přiměřené doby pro zachování dat, po jejímž uplynutí budou data smazána. Samotné prohlížení dat musí probíhat obdobně jako u e-mailové schránky, tzn. zaměstnavatel musí data zejména důsledně selektovat a prohlížet pouze ta, která souvisejí s agendou práce.

Nastavení cookies na webových stránkách

V návaznosti na dotazy vznášené na našich školení GDPR níže uvádíme souhrn základních kroků, které musí správce osobních údajů provést pro správné nastavení cookies na provozovaných webových stránkách.

Identifikace používané technologie, cookies

  • Identifikace všech používaných cookies, sledovacích pixelů, beacons a ostatních technologií, které podléhají aktuálně platné legislativě (viz zákon o elektronických komunikacích).
  • Správné rozřazení všech souborů cookies podle jejich účelu, tj. žádné cookies nezůstávají v nezařazené kategorii.
  • Správná identifikace technických (nezbytných) cookies.
  • Ukládání netechnických cookies až po udělení souhlasu uživatele webových stránek prostřednictvím cookies lišty.

Cookies lišta

  • Zobrazená cookies lišta umožňuje číst text webové stránky, tj. nepřekáží čtení předmětné stránky.
  • Všechna tlačítka cookies lišty jsou zpracována graficky stejně, tj. všechny volby cookies lišty jsou pro uživatele srovnatelné (velikost, barevnost).
  • Cookies lišta neobsahuje v žádné vrstvě předzaškrtnutý souhlas.
  • Cookies lišta umožňuje zvolit, pro které účely uživatel webových stránek skutečně udělí souhlas.
  • Cookies lišta umožňuje neudělit souhlas, tj. lze zavřít cookies lištu bez nutnosti udělit souhlas.
  • Cookies lišta splňuje veškeré podmínky bez ohledu na zařízení, ze kterého se uživatel na webové stránky přihlašuje.
  • Uživatel webových stránek má možnost po odkliknutí cookies lišty jednoduše změnit svoje volby v nastavení cookies (dochází k minimalizaci lišty / existuje možnost změny udělení souhlasu přes webový odkaz, který je uživateli vždy dostupný).

Informace o cookies

  • Uživatel webových stránek je informován o všech cookies, jejich názvu, době uložení / používání a třetích stranách, které mají ke cookies přístup.
  • Uživatel webových stránek je informován i o cookies, které nepodléhají právní úpravě zákona o elektronických komunikacích, ale je jejich prostřednictvím možno zpracovávat osobní údaje.
  • Uživatel má k předmětným informacím vždy přístup, na informaci je odkazováno v rámci cookies lišty.
  • Informace o cookies je poskytnuta ve správném jazyce.
  • Informační dokumentace ke cookies je úplná a odpovídá požadavkům čl. 13 Nařízení GDPR, Pokynům EPDB č. 05/2020 k souhlasu či Pokynům k transparentnosti dle WP29.
  • Souhlas uživatele webových stránek s cookies je uchováván tak, aby splňoval podmínky doložitelnosti, a to včetně doplňujících údajů (např. kdy byl souhlas udělen).

Povinnost správce osobních údajů

  • Otestování nastavení cookies externími nástroji.
  • Otestování cookies lišty ve vztahu k jednotlivým volbám, tj. cookies lišta funguje správně ve všech nabízených variantách.
  • Dodržování podmínek jednotlivých služeb, které vyžadují sdělení informací uživatelům webových stránek nad rámec zákona (např. Google).
  • Uzavření příslušných smluv s třetími stranami zapojenými do zpracování osobních údajů (zpracovatelské smlouvy, dohody společných správců).
  • Umožnění výkonu práv subjektu údajů.
  • Periodické provádění kontroly / auditu všech nastavení a realizovaných opatření.

QR kód jako osobní údaj

QR kód (Quick Response code) je typ tzv. dvourozměrného čárového kódu, který byl vyvinut japonskou společností Denso Wave v roce 1994. QR kódy obsahují informace, které lze snadno přečíst pomocí chytrých telefonů nebo jiných zařízení s fotoaparátem a aplikací pro čtení QR kódů.

QR kódy jsou často používány k propojení tradičních médií s digitálními informacemi. Mohou obsahovat různé druhy dat, jako jsou webové adresy (URL), textové zprávy, kontaktní údaje, informace o produktech nebo dokonce odkazy na soubory. Díky své schopnosti ukládat větší množství informací než tradiční čárové kódy a rychlejšímu čtení se QR kódy staly populárními pro různé účely, včetně marketingu, propagačních akcí, platebních systémů a konečně též ověřování identity.

V České republice byly v letech 2021 – 2022 QR kódy využívány ke kontrolám tzv. bezinfekčnosti v období pandemie COVID-19 prostřednictvím aplikace čTečka. V rámci vnitrostátního řízení o zákonnost Mimořádného opatření vydaného Ministerstvem zdravotnictví ČR nastal spor o to, zda kontrola COVID certifikátu pro povinné vnitrostátní použití představuje zpracování osobních údajů tak, jak s tímto pojmem pracuje Nařízení GDPR. Ministerstvo zdravotnictví ČR zastávalo názor, že se o zpracování osobních údajů nejedná.

Podoba COVID certifikátů určených pro aplikaci čTečka totiž vycházela z Nařízení Evropského parlamentu a Rady (EU) 2021/953 ze dne 14. června 2021 o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, o testu a o zotavení v souvislosti s onemocněním COVID-19 (digitální certifikát EU COVID) za účelem usnadnění volného pohybu během pandemie COVID-19. Digitální COVID certifikáty se přitom Ministerstvo zdravotnictví ČR rozhodlo využít pro účely a způsobem, který Nařízení č. 2021/953 nepředpokládá. Podle tohoto nařízení totiž tyto certifikáty měly sloužit pouze k usnadnění přeshraničního pohybu, jakékoliv další použití těchto certifikátů již přepokládalo vznik nového, dostatečného legislativního rámce.

Spor, zda se v rámci QR kódů využívaných v rámci COVID certifikátů v aplikaci čTečka jedná o zpracování osobních údajů, byl řešen Soudním dvorem Evropské unie. Soudní dvůr EU došel k jednoznačnému závěru, že při ověřování platnosti digitálních certifikátů COVID certifikátů aplikací čTečka dochází ke zpracování osobních údajů tak, jak s tímto pojmem pracuje Nařízení GDPR. Soudní dvůr Evropské unie konstatoval, že „pojem zpracování musí být vykládán v tom smyslu, že se vztahuje i na situaci, kdy kontrolující stát prostřednictvím národní mobilní aplikace ověřuje platnost interoperabilních certifikátů a že ke zpracování osobních údajů dochází, zejména s ohledem na skutečnost, že QR kód sám o sobě obsahuje „tradiční“ osobní údaje, jako je jméno, příjmení či datum narození kontrolované osoby, ale taktéž citlivé osobní údaje o zdravotním stavu jednotlivce, jejichž zpracování dále reguluje čl. 9, který stanovuje podmínky zpracování tzv. zvláštních kategorií osobních údajů“.

Z důvodu toho, že QR kód obsažený v digitálním COVID certifikátu „obsahuje jednoznačné“ osobní údaje, jako je jméno, příjmení a datum narození, a grafická podoba certifikátu je způsobilá rozlišit jednotlivé držitele osobních údajů, je QR kód v rámci COVID certifikátu považován za osobní údaj identifikovatelné osoby (osobním údajem sui generis).

V případě načtení QR kódů se jedná pouze o zcela nebo částečně automatizované zpracování, neboť QR kódy jsou zpracovávány za použití technického prostředku k jejich zpracování. Pokud jsou ale QR kódy přiřaditelné ke konkrétní osobě zpracovávány v rámci evidence (papírové, elektronické), jedná se již o zpracování osobních údajů.

Legislativní pravidla pro zpracování a ochranu osobních údajů

Pro přehlednost níže shrnujeme přehled základních nařízení, směrnic a zákonů týkajících se problematiky zpracování a ochrany osobních údajů.

Obecné nařízení o ochraně osobních údajů (Nařízení GDPR)

Trestněprávní směrnice

Zákon o zpracování osobních údajů

Změnový zákon

Standardní smluvní doložky

Školení zaměstnanců v oblasti GDPR

Jedna ze základních povinností správce osobních údajů ve smyslu čl. 32 Nařízení GDPR je realizace pravidelných školení zaměstnanců v oblasti zpracování a ochrany osobních údajů. Doporučenou periodou školení je 1-2 roky, nebo v okamžiku realizace procesních, organizačních či legislativních změn, nebo zavádění nových agend a služeb.

Zaměstnanci musí být proškoleni minimálně v rozsahu svých oprávnění a ve vztahu k operacím, které s osobními údaji činí. Správce osobních údajů musí pořídit záznam o poučení zaměstnanců ve vztahu k GDPR, kterým při případné kontrole prokazuje řádné poučení zaměstnanců v oblasti GDPR.

Úvodní školení o GDPR musí absolvovat všichni zaměstnanci ihned po nástupu do pracovního poměru.

Do okruhu témat pravidelného školení zaměstnanců v oblasti zpracování a ochrany osobních údajů doporučujeme zahrnout následující témata:

  • Právní úprava GDPR na mezinárodní a vnitrostátní úrovni.
  • Terminologie GDPR, základní pojmy.
  • Zásady zpracování osobních údajů.
  • Účel a právní základ zpracování osobních údajů (zákonnost zpracování).
  • Informační povinnost.
  • Dokumentace GDPR.
  • Souhlas se zpracováním osobních údajů.
  • Nakládání s osobními údaji při běžných aktivitách na pracovišti.
  • Zabezpečení osobních údajů – technická, organizační a fyzická opatření.
  • Porušení zabezpečení a hlášení incidentů.
  • Využívání technologií na pracovišti z pohledu GDPR.
  • Práva subjektu údajů.
  • Postup při vyřizování žádostí v režimu GDPR.

Strategie Evropského sboru na ochranu osobních údajů na roky 2024-2027

Evropský sbor pro ochranu osobních údajů (EDPB) sdružuje úřady pro ochranu dat jednotlivých zemí Evropské unie. EDPB vydává metodiky, rozhoduje spory při společných kontrolách a určuje priority v dozoru ochrany osobních údajů.

Na svém posledním plenárním zasedání EDPB přijal Strategii na období let 2024-2027. Dokument Strategie shrnuje hlavní strategické cíle a priority, na které se chce EDPB v následujících letech zaměřit.

Strategie je založena na čtyřech hlavních strategických pilířích, které jsou dále specifikovány prostřednictvím tzv. klíčových opatření, jež mají pomoci při jejich dosahování.

  • Pilíř 1 – Posílení harmonizace a podpora dodržování předpisů.
  • Pilíř 2 – Posílení společného prosazování práva a efektivní spolupráce.
  • Pilíř 3 – Zajištění ochrany údajů v rozvíjejícím se digitálním a meziregulačním prostředí.
  • Pilíř 4 – Přispění ke globálnímu dialogu o ochraně údajů.

Dokument Strategie na období let 2024-2027 je zveřejněn na webových stránkách EDPB: https://www.edpb.europa.eu/our-work-tools/our-documents/strategy-work-programme/edpb-strategy-2024-2027_cs.

Činnost parlamentních výborů z pohledu GDPR

  • Parlamentní vyšetřovací výbor, tj. vyšetřovací výbor zřízený parlamentem členského státu při výkonu jeho kontrolní pravomoci vůči moci výkonné, musí dle rozhodnutí Soudního dvora Evropské unie při výkonu své činnosti dodržovat Nařízení GDPR. Výjimkou v dodržování GDPR je výkon činnosti parlamentního vyšetřovacího výboru, jejímž cílem je ochrana národní bezpečnosti.
  • Nařízení GDPR se nevztahuje na zpracování osobních údajů prováděná státními orgány v rámci činnosti, jejímž cílem je ochrana národní bezpečnosti jako taková. Národní bezpečnost totiž může odůvodnit omezení povinností a práv vyplývajících z Nařízení GDPR prostřednictvím legislativních opatření.
  • Pokud v členském státě existuje pouze jeden dozorový úřad, má tento dozorový úřad v zásadě pravomoc dohlížet na dodržování Nařízení GDPR i prostřednictvím zřízeného parlamentního vyšetřovacího výboru, a to bez ohledu na zásadu dělby moci.

Metodika pro data scraping

Z pohledu osobních údajů je značně rizikové automatizované stahování dat z veřejně přístupného internetu, tzv. data scraping. Z tohoto důvodu vydal nizozemský úřad pro ochranu dat metodický pokyn, jak při data scrapingu neporušit GDPR.

Dle Metodiky pro data scraping je data scrapingem automatizovaný sběr a zaznamenávání všech informací z určených webových stránek. Metodika rozlišuje data scraping od internetových vyhledávačů tím, že pomocí data scrapingu jsou dostupné informace shromažďovány a zaznamenávány do databáze a poté zpracovávány data pro konkrétní účel.

Data scraping se typicky používá pro tyto účely:

  • sběr informací pro trénování algoritmů;
  • sběr dotazů a stížností od (potenciálních) zákazníků subjektu prostřednictvím online kanálů, jako jsou sociální média a recenzní weby;
  • monitorování online zpráv o subjektu, aby na ně mohl reagovat, ať už pro účely řešení reputace, prodeje nebo marketingu.

Metodika pro data scraping nepřináší žádný přelomový výklad Nařízení GDPR, ani dalších pravidel pro ochranu dat a soukromí. Metodika jednoznačně formuluje povinnosti aplikovat základní principy GDPR i při automatizovaném sběru veřejně dostupných údajů.

Dle Metodiky pro data scraping musí každý subjekt při data scrapingu zahrnujícího osobní údaje dodržovat Nařízení GDPR a musí mít pro toto zpracování (shromáždění a další využití osobních údajů) dostatečný právní základ podle čl. 6 Nařízení GDPR. Subjekt musí zajistit, aby proces zpracování osobních údajů byl v souladu se základními principy zpracování osobních údajů podle čl. 5 odst. 1 Nařízení GDPR (tj. dodržovat zásady zákonnosti, omezení účelu, minimalizace údajů, přesnosti, omezení uložení, integrity a důvěrnosti).

Metodika definuje i výjimky z působnosti GDPR, např. data scraping pro trénování algoritmu umožňující uživatelům mimo Evropskou unii generovat obrázky nebo počítačový kód nespadá pod GDPR, pokud je správce zřízen mimo EU a nenabízí zboží nebo služby v EU.

Předpokládá se, že Metodika pro data scraping bude mít významný dopad na obchodní modely poskytovatelů informačních služeb. Společnosti nabízející tyto služby by měly přezkoumat své postupy a zajistit, že jsou v souladu s GDPR, aby se vyhnuly možným právním problémům a sankcím.

Archivace a skartace whistleblowing oznámení

Při procesu ochrany oznamovatelů, tzv. whistleblowingu (viz zákon č. 171/2023 Sb., o ochraně oznamovatelů), je při evidenci a šetření podaných oznámení zpracovávána řada osobních údajů, které musí být po stanovenou dobu archivovány a následně skartovány.

V souladu se zákonem o ochraně oznamovatelů příslušná osoba jmenovaná vedením povinného subjektu vede v elektronické podobě evidenci údajů o přijatých oznámeních, a to v rozsahu:

  • datum přijetí oznámení;
  • jméno, příjmení, datum narození a kontaktní adresa oznamovatele, nebo jiné údaje, z nichž je možné dovodit totožnost oznamovatele, jsou-li jim tyto údaje známy;
  • shrnutí obsahu oznámení a identifikace osoby, proti které oznámení směřovalo, je-li jim její totožnost známa;
  • datum ukončení posouzení důvodnosti oznámení příslušnou osobou nebo pověřeným zaměstnancem a jejich výsledek.

Příslušná osoba je dále povinna uchovávat oznámení podané prostřednictvím vnitřního oznamovacího systému a dokumenty související s oznámením po dobu 5 let ode dne přijetí oznámení. Do této evidence, k dokumentům souvisejícím s oznámením, má přístup pouze příslušná osoba, případně pověřený zaměstnanec Ministerstva spravedlnosti při využití tzv. externího oznamovacího kanálu.

Po uplynutí lhůty 5 let je nezbytné dokumenty a související informace s přijatým oznámením nevratně vymazat, pokud k jejich dalšímu uchování není zvláštní právní důvod, např. probíhající správní nebo soudní řízení.

Z důvodu toho, že totožnost oznamovatele a dalších chráněných osob není možné sdělit bez jejich písemného souhlasu třetí osobě, musí veškerou dokumentaci související s agendou whistleblowingu vést od začátku až do konce pouze příslušná osoba, která v souladu se zákonem o ochraně oznamovatelů provede v příslušných lhůtách i skartaci. V rámci subjektu tedy musí dojít k dohodě pověřené osoby a osoby pověřené skartací, aby v rámci agendy whistleblowingu byl nastaven postup archivace a skartace nejen v souladu se zákonem o whistleblowingu, ale také v souladu s aktuálně platným Spisovým a skartačním řádem subjektu.

Problematika povinného ukládání otisků prstů v průkazech totožnosti

Na základě žaloby německého občana Soudní dvůr Evropské unie zrušil Nařízení Evropského parlamentu a Rady (EU) 2019/1157 ze dne 20. června 2019 o posílení zabezpečení průkazů totožnosti občanů Unie a povolení k pobytu vydávaných občanům Unie a jejich rodinným příslušníkům, kteří vykonávají své právo volného pohybu, které v roce 2019 zavedlo povinnost ukládat v průkazech totožnosti otisky prstů. Toto nařízení dle rozhodnutí Soudního dvora EU bylo přijato na nesprávném právním základě (podle nesprávného legislativního postupu) a je tedy neplatné (viz rozsudek Soudního dvora ve věci C-61/22).

V dosavadní praxi ukládání otisků prstů do průkazů totožnosti se zatím ale nic nemění, protože Soudní dvůr EU z důvodu závažných negativních důsledků, které by mělo prohlášení neplatnosti Nařízení č. 2019/1157 s okamžitým účinkem, ponechal v platnosti účinky nařízení nejpozději do 31. prosince 2026, než vstoupí v platnost nařízení nové vydané na správném právním základě.

Soudní dvůr zároveň rozhodl, že povinné ukládání dvou otisků prstů do průkazů totožnosti je slučitelné se základními právy na respektování soukromého života a ochranu osobních údajů.

Vzhledem k tomu, že umožňuje bojovat proti výrobě padělaných průkazů totožnosti a zneužití identity, může ukládání dvou otisků prstů přispívat jak k ochraně soukromého života dotčených osob, tak šířeji k boji proti kriminalitě a terorismu. Tím, že umožňuje občanům Unie se spolehlivě identifikovat, usnadňuje navíc výkon jejich práva volného pohybu a pobytu v Evropské unii. Cíle sledované tímto ukládáním mají tedy zvláštní význam nejen pro Unii a členské státy, ale i pro občany Unie. Pouhé vložení zobrazení obličeje představuje podle Soudního dvora méně účinný prostředek identifikace, než vložení dvou otisků prstů vedle tohoto zobrazení. Stárnutí, způsob života, onemocnění nebo chirurgický zákrok mohou totiž pozměnit anatomické rysy obličeje.“

V České republice se průkazy totožnosti – občanské průkazy s otisky prstů vydávají od roku 2021.

Právo subjektu údajů na bezplatnou kopii zdravotnické dokumentace

Na základě žaloby německého občana řešené jak na úrovni německého Spolkového soudního dvora, tak i na evropské úrovni Soudním dvorem, Soudní dvůr EU rozhodl, že pacient má právo získat bezplatně první kopii své zdravotnické dokumentace (viz rozsudek Soudního dvora ve věci C-307/22).

Soudní dvůr EU ve svém rozsudku připomíná, že GDPR zakotvuje právo subjektu údajů (pacienta) získat první kopii své zdravotnické dokumentace, aniž mu v zásadě vzniknou jakékoli výdaje. Lékaři jsou považováni za správce osobních údajů svého pacienta – správce může požadovat poplatek pouze tehdy, pokud pacient již bezplatně obdržel první kopii svých údajů a znovu o ni požádal. Pacient není povinen žádost o poskytnutí zdravotnické dokumentace odůvodnit.

Vnitrostátní právní úprava nemůže uložit pacientovi povinnost uhradit poplatek za první kopii jeho zdravotnické dokumentace ani za účelem ochrany hospodářských zájmů ošetřujících osob. Pacient má právo získat úplnou kopii dokumentů nacházejících se v jeho zdravotnické dokumentaci, je-li to nezbytné pro pochopení osobních údajů obsažených v těchto dokumentech.

Nové pravidlo pro používání aplikace WhatsApp

V následujících několika týdnech společnost Meta zavede na území Evropské unie nové pravidlo pro používání chatovací aplikace WhatsApp, kterou využívá více než 3 miliardy uživatelů po celém světě. Uživatelé aplikace WhatsApp budou muset potvrdit svůj věk a pokud tak neučiní, nebudou moci aplikaci dále využívat.

WhatsApp již nyní po uživatelích vyžaduje informaci o věku, ale zatím se jedná jen o prosté potvrzení, že je uživateli více než 16 let. Nyní ale WhatsApp bude vyžadovat celé datum narození a jeho zadání nepůjde nijak přeskočit (zadané datum narození zůstane v aplikaci jako soukromý údaj a nikdo jiný na platformě ho neuvidí).

Meta zavádí toto pravidlo z důvodu implementace pravidel aktu o digitálních trzích do podmínek užívání služeb poskytovaných aplikací WhatsApp. Předpokládá se, že Meta postupem času tuto funkci implementuje i do svých dalších aplikací, jako je Facebook a Instagram. Cílem je eliminovat pohyb dětí na sociálních platformách.

Nejčastější chyby a omyly o GDPR

Před šesti lety vstoupilo v platnost obecné nařízení Evropské unie o ochraně osobních údajů (Nařízení GDPR). Základní právní rámec ochrany osobních údajů obsahující jednotná pravidla pro zpracování osobních údajů platí ve všech zemích Evropské unie a Evropského hospodářského prostoru.

I po šesti letech od implementace GDPR se stále objevují chyby / omyly spojené s ochranou osobních údajů:

  • ! Organizace / společnost má GDPR již implementované / hotové

=> Soulad s GDPR je nepřetržitý proces jednotlivých postupů (není to zakonzervovaný stav) a je nezbytné procesy ochrany osobních údajů neustále aktualizovat v souvislosti s průběžnými změnami organizace a vykonávaných agend / činností.

  • ! Plnění povinností GDPR musí zajistit pouze velké organizace / společnosti

=> V každé organizaci / společnosti je nezbytné nastavit přiměřený systém pro zpracování a správu osobních údajů, průběžně evidovat datové toky, popsat základní procesy v interních předpisech atd.

  • ! Vedení organizace / společnosti se nemusí zabývat GDPR

=> GDPR je záležitostí jak vedení, tak i všech zaměstnanců organizace / společnosti. Každý zaměstnanec může být svědkem incidentu, úniku nebo ztráty osobních údajů. Vedení organizace / společnosti je přímo odpovědné za plnění povinností v oblasti ochrany osobních údajů.

  • ! GDPR má v rámci organizace / společnosti na starosti pouze Pověřenec pro ochranu osobních údajů

=> Jmenováním Pověřence pro ochranu osobních údajů se vedení organizace / společnosti nezbavuje odpovědnosti za zpracování a ochranu osobních údajů v rámci subjektu. Pověřenec pro ochranu osobních údajů v organizaci / společnosti monitoruje soulad činnosti organizačních útvarů s GDPR, aktualizuje GDPR dokumentaci, navrhuje nápravná opatření při zjištění chyby / problému atd.

  • ! V organizaci / společnosti jsou dodržována pouze pravidla GDPR, ne pravidla sektorová

=> Řada specifických požadavků a pravidel týkajících se ochrany osobních údajů je upravena i v dalších právních předpisech, např. pravidla pro marketing, cookies, zpracování osobních údajů ve veřejné správě, školství, zdravotnictví atd. Při nastavování a výkladu pravidel pro zpracování a správu osobních dat je tedy důležité dodržovat nejen Nařízení GDPR, ale také pravidla zakotvená v příslušných právních předpisech. Nařízení GDPR platí všude tam, kde příslušná sektorová legislativa výslovně nestanoví jinak.

  • ! GDPR není o informační bezpečnosti

=> GDPR se bez informační bezpečnosti neobejde, informační bezpečnost je nedílnou součástí systému ochrany osobních údajů.

  • ! Veřejným institucím nic nehrozí za porušení GDPR

=> Dle zákona č. 110/2019 Sb., o zpracování osobních údajů nemohou ministerstva, kraje ani obce za porušení GDPR dostat pokutu. Nedostatečná ochrana osobních údajů může ale vést k tomu, že Úřad pro ochranu osobních údajů veřejné instituci uloží nápravná opatření, např. smazání osobních údajů, k jejichž zpracování nemá instituce oporu v zákoně, nebo zavedení bezpečnostních opatření, která mohou být pro instituci drahá, případně zahájí řízení o přestupku.

  • ! Žádost o přístup k osobním údajům nějak vyřešíme, až se někdo ozve

=> V rámci organizace / společnosti má být definován základní proces řešení žádosti o přístup k osobním údajům, mají být nastaveny postupy jednotlivých organizačních útvarů a zpracovány šablony / formuláře, které komunikaci s klienty usnadní a pomohou dodržet definovaný termín pro vyřízení žádosti.

Doložení souladu s GDPR

Správce / zpracovatel osobních údajů je povinen osobní data zpracovávat v souladu s regulatorními požadavky (Nařízením GDPR, sektorovými pravidly souvisejícími s ochranou osobních údajů), a musí být schopen tento soulad dokumentovat a kdykoliv jej doložit při případné kontrole, auditu, soudním řízení atd.

Soulad s GDPR správce osobních údajů dokládá prostřednictvím:

  • zpracované GDPR dokumentace;
  • provedených dopadových a rizikových analýz (posouzení vlivu na ochranu osobních údajů – DPIA);
  • zřízením funkce Pověřence pro ochranu osobních údajů, který kontroluje ochranu osobních údajů v rámci organizace / společnosti;
  • certifikací produktů, služeb či systémů pro zpracování osobních dat, tj. provedením nezávislého posouzení interně nastavených procesů a potvrzení jejich souladu s regulatorními požadavky.

Evidence a uchovávání údajů zaměstnanců z pohledu GDPR

Zaměstnavatel je povinen vést evidenci všech zaměstnanců, tj. občanů České republiky i cizinců. Evidence zaměstnanců představuje souhrn informací vč. osobních údajů, které zaměstnavatel musí znát, aby mohl plnit své povinnosti dle aktuálně platné legislativy, a to jak ve vztahu k organizaci / společnosti a zaměstnancům, tak i ve vztahu ke státním orgánům (finančnímu úřadu, inspekci práce, úřadu práce, policii, soudům atd.).

Zaměstnavatel je povinen v místě pracoviště mít uložené kopie dokladů prokazujících existenci pracovněprávního vztahu (tuto povinnost zaměstnavatel nemá, pokud nahlásí místně příslušné Okresní správě sociálního zabezpečení den nástupu zaměstnance do zaměstnání, které mu založilo účast na nemocenském pojištění podle zákona o nemocenském pojištění).

V případě, že zaměstnancem je cizinec, je zaměstnavatel povinen uchovávat po dobu trvání zaměstnání a dobu tří let od skončení zaměstnávání cizince kopie dokladů prokazujících oprávněnost pobytu cizince na území ČR.

V případě požadavku zaměstnance na uplatnění daňového zvýhodnění na dítě, zaměstnanec dokládá zaměstnavateli věk dítěte předložením rodného listu dítěte, popř. předložením rozhodnutí příslušného orgánu o svěření dítěte do péče nahrazující péči rodičů. Dle aktuální právní úpravy zaměstnavatel nemá uchovávat kopie rodného listu, dostačující je ověření vztahu zaměstnance k dítěti a jeho věku z předloženého rodného listu (je doporučeno evidovat datum narození dítěte). Pokud zaměstnanec vůči zaměstnavateli nesplní povinnost prokázat rozhodné skutečnosti předložením rodného listu dítěte, nejsou splněny podmínky pro uplatnění daňového zvýhodnění.

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2023

Úřad pro ochranu osobních údajů provádí dozorovou činnost v oblasti ochrany osobních údajů upravenou především Nařízením GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů. Ta spočívá v provádění kontrol, vedení správních řízení o pokutě či o nápravném opatření, případně v komunikaci se správci a zpracovateli osobních údajů, která zahrnuje i dopisy upozorňující na možné porušení právních předpisů.

V roce 2023 vzrostl počet podaných stížností a podnětů v oblasti ochrany osobních údajů – ÚOOÚ přijal celkem 2 322 stížností a podnětů, z toho se jednalo o 1 373 stížností a 949 podnětů. Nejčastějšími stížnostmi a podněty byly:

  • zpracování údajů pro marketingové účely (22 %),
  • zveřejnění / zpřístupnění osobních údajů (16 %),
  • monitorování fyzických osob prostřednictvím kamer (11 %),
  • porušení povinností správce osobních údajů podle čl. 13 a 14 Nařízení GDPR (9 %),
  • výkon práv subjektů údajů podle čl. 15 až 21 Nařízení GDPR (6 %),
  • zpracování prostřednictvím cookies (3 %),
  • zpracování osobních údajů v pracovněprávních vztazích (2 %).

V roce 2023 významně narostl i počet rozhodnutí ÚOOÚ týkajících se zpracování osobních údajů prostřednictvím souborů cookies. V problematice cookies ÚOOÚ identifikoval porušení zejména v:

  • zpracování osobních údajů prostřednictvím cookies souborů před získáním souhlasu návštěvníka internetových stránek (více než v 70%),
  • plnění informační povinnosti (v 50 %),
  • umístění možnosti souhlasu a odmítnutí s nahráváním netechnických cookies souborů do různých vrstev cookies lišty (téměř ve 30 %).

V rámci konzultační činnosti ÚOOÚ přijal v roce 2023 na konzultační lince 1 245 telefonních dotazů a 1 123 písemných dotazů týkajících se zpracování osobních údajů.

ÚOOÚ v rámci své činnosti provádí na základě zákona č. 480/2004 Sb., o některých službách informační společnosti, dozor a kontrolu šíření nevyžádaných obchodních sdělení elektronickou formou, které je prováděno v rámci podnikatelské činnosti právnických i fyzických osob. V této oblasti ÚOOÚ v roce 2023 obdržel 1 388 stížností.

V roce 2023 došlo i k nárustu v počtu obdržených ohlášení porušení zabezpečení osobních údajů oproti letům minulým – celkem ÚOOÚ obdržel 383 ohlášení. Nejčastější příčinou porušení, kterou ohlašovatelé uváděli, byl kybernetický útok.

ÚOOÚ udělil v roce 2023 první pravomocnou pokutu za porušení předpisů upravujících ochranu osobních údajů v režimu tzv. trestněprávní směrnice, a to za neoprávněné zpracování osobních údajů osob, jimž byla v rámci opatření proti šíření onemocnění COVID-19 nařízena izolace Policií ČR v rámci databáze Karanténa.

EK porušila pravidla Nařízení GDPR při používá Microsoft 365

Na základě šetření týkající se používání software Microsoft 365 Evropskou komisí Evropský inspektor pro ochranu údajů (EDPS) rozhodl, že Evropská komise využívá Microsoft 365 v rozporu s předpisy na ochranu osobních údajů a bez dostatečných záruk pro data odesílaná mimo EU / EHP:

  • Evropská komise ve smlouvě se společností Microsoft dostatečně neupřesnila, jaké druhy osobních údajů mají být shromažďovány a pro jaké účely jsou využívány v rámci aplikací Microsoft 365.
  • Evropská komise neposkytla vhodné záruky, které by zajistily, že osobním údajům předávaným mimo EU / EHP bude poskytnuta rovnocenná úroveň ochrany.

EDPS nařídil Evropské komisi zajistit nápravná opatření:

  • Nejpozději do prosince 2024 musí Evropská komise uvést využívání nástrojů Microsoft 365 do souladu s Nařízením GDPR.
  • S účinností od prosince 2024 je Evropská komise povinna pozastavit veškeré toky údajů vyplývající z používání služby Microsoft 365 společnosti Microsoft a jejím přidruženým společnostem a dílčím zpracovatelům nacházejícím se v zemích mimo EU / EHP, na které se nevztahuje rozhodnutí o odpovídající ochraně.

ÚOOÚ uložil pokutu 351 mil. Kč za porušení GDPR

Společnosti Avast Software s.r.o. byla Úřadem pro ochranu osobních údajů uložena pokuta 351 mil. Kč za neoprávněné zpracování osobních údajů uživatelů antivirového programu Avast a jeho rozšíření internetových prohlížečů (Browser Extensions), k čemuž prokazatelně docházelo v roce 2019.

Společnost Avast Software s.r.o. v období části roku 2019 předávala pseudonymizovanou historii prohlížení internetu, navázanou na jedinečný identifikátor přibližně 100 milionů svých uživatelů společnosti Jumpshot, INC. Tato společnost zpřístupňovala data marketérům pro „vhled do on-line chování spotřebitelů“ a „sledování cesty uživatelů na atomární úrovni“.

Uživatelé byli společností Avast Software s.r.o. mylně informováni o předávání anonymních údajů za účelem analýzy trendů. Předávané údaje však nebyly anonymizované, navíc účelem zpracování těchto údajů nebylo (pouze) vytváření statistických analýz, jak společnost Avast Software s.r.o. uváděla.

Úřad v rozhodnutí zdůraznil, že společnost Avast Software s.r.o. je jedním z předních odborníků na kybernetickou bezpečnost, který nabízí veřejnosti nástroje k ochraně dat a soukromí. Její zákazníci nemohli očekávat, že právě tato společnost bude předávat jejich osobní údaje, respektive údaje, na jejichž základě by mohla být zjištěna nejen jejich totožnost, ale např. i zájmy, preference, bydliště, majetkové poměry, profese a další údaje týkající se jejich soukromí.

Centrální databáze ubytovaných z pohledu ochrany osobních údajů

Ministerstvo pro místní rozvoj plánuje vznik centrální elektronické databáze eTurista, do které by měli být zapisováni všichni hosté, kteří se ubytují v hotelích, penzionech nebo kempech. Místo dosavadních papírových knih hostů má vzniknout centrální systém, do kterého bude mít přístup, kromě dalších úřadů a policie, i samotné ministerstvo. Informace o tom, kdo se kde ubytoval, zde mají být uložené šest let.

Jedná se o implementaci chystaného Nařízení evropského parlamentu a rady o shromažďování a sdílení údajů týkajících se služeb v oblasti krátkodobých pronájmů ubytování.

Úřad pro ochranu osobních údajů upozorňuje, že je nevhodné, aby se informace o lidech ubytovaných v hotelích a penzionech shromažďovaly v jedné státní databázi. Podle stanoviska evropského inspektora ochrany údajů návrh evropského nařízení vylučuje použití evidence „pro účely vymáhání práva nebo pro účely daní a cel“, což chystaná česká novela naopak výslovně zavádí. Evropský inspektor pak rovněž zdůraznil, že návrh evropského nařízení nezavádí sběr údajů o jednotlivých ubytovaných, místo nich stačí jen počet nocí, na které je ubytovací jednotka pronajatá, a počet hostů, kteří se v jednotce za noc ubytovali.

ÚOOÚ má i výhrady k množství informací, které se mají o ubytovaných sbírat, k šestileté lhůtě, po kterou by se informace o ubytovaných měly ve státním registru uchovávat i k účelům, za kterými by jednotlivé úřady byly oprávněny osobní údaje zpracovávat.

Podle návrhu zákona se o ubytovaných osobách má evidovat:

  • jméno, popřípadě jména, a příjmení;
  • den, měsíc a rok narození;
  • adresa místa trvalého pobytu v České republice nebo, pokud jej ubytovaná osoba nemá, jiného obdobného pobytu v zahraničí;
  • státní občanství;
  • číslo a druh dokladu předloženého ubytovanou osobou ubytovateli, jímž ubytovaná osoba prokázala svoji totožnost, včetně čísla víza, je-li v cestovním dokladu vyznačeno;
  • den počátku ubytování;
  • den předpokládaného konce ubytování.

Souhlas zákazníka se zpracováním osobních údajů na e-shopu

Zpracování osobních údajů je dle Nařízení GDPR potřeba založit na jednom z těchto šesti důvodů:

  • na souhlasu,
  • nezbytnosti plnit smlouvu,
  • nezbytnosti plnit právní povinnosti (většinou stanovené právními předpisy),
  • nezbytnosti chránit životně důležité zájmy člověka,
  • nezbytnosti splnit úkol prováděný ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen, nebo
  • nezbytnosti pro účely oprávněných zájmů správce či třetí osoby, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody člověka vyžadující ochranu osobních údajů.

Při provozu e-shopu nebo webové aplikace jsou údaje zákazníka zpracovávány z důvodů plnění smlouvy, uzavřené se zákazníkem (ad 2), dodržování zákonných povinností (ad 3) a ochrany zájmů (ad 6). Podle Nařízení GDPR platí, že pokud lze konkrétní zpracování osobních údajů založit na jiném důvodu zpracování, než na souhlasu (ad 2 až 6), má tento jiný důvod vždy přednost. Ke zpracování osobních údajů v takovém případě nelze vyžadovat souhlas zákazníka.

Z toho důvodu nelze podmínit odeslání objednávky souhlasem se zpracováním osobních údajů. Samozřejmě, že souhlas s obchodními podmínkami je vždy nezbytný, neboť tím dochází k uzavření kupní smlouvy.

Souhlas se zpracováním osobních údajů musí být podle Nařízení GDPR svobodný, konkrétní, informovaný a jednoznačný. Není proto možné od zákazníka vyžadovat obecný souhlas se zpracováním osobních údajů, bez určení účelu, za kterým budou údaje zpracovávány. Současně nelze udělením souhlasu podmiňovat prodej zboží či poskytnutí služby. Navíc souhlas je kdykoliv odvolatelný, tedy v případě odvolání souhlasu je nutné údaje vymazat.

Podmínky kladené Nařízením GDPR na parametry uděleného souhlasu tedy logicky vylučují jeho využití při nákupu zboží nebo služeb, neboť při neudělení nebo odvolání souhlasu by nebylo možné objednané zboží nebo službu doručit ani evidovat v účetnictví.

Při provozu e-shopu nebo webové aplikace je tedy nutné pouze správně informovat zákazníka o tom, jak budou jeho osobní údaje zpracovávány, např. formou odkazu na Informační memorandum (Informace o zpracování osobních údajů).

Souhlas se zpracováním osobních údajů je naopak nezbytný v případě využívání osobních údajů za jinými než výše uvedenými účely, např. v případě předávání osobních údajů třetím stranám za účelem marketingu. V případě „přímého marketingu“ (tedy rozesílání informací o vlastních produktech a službách) je právním důvodem oprávněný zájem správce (ad 6), tedy ani zde není potřeba souhlas požadovat.

Kamery na pracovišti

Dle zákoníku práce může zaměstnavatel zaměstnance sledovat na pracovišti a ve společných prostorách pouze tehdy, pokud má k tomu závažný důvod spočívající ve zvláštní povaze jeho činnosti. Jedná se např. o činnost s vysoce nebezpečnými chemikáliemi či vysokými finančními obnosy.

Další podmínkou provozu kamer na pracovišti je pak pozitivní  tzv. balanční test, který vyhodnotí, zda zájem zaměstnavatele (správce osobních údajů) na monitorování pracoviště převažuje nad zájmem zaměstnance na ochraně jeho soukromí a že tohoto cíle nelze dosáhnout jinými, pro zaměstnance mírnějšími prostředky (např. dohled vedoucím zaměstnancem nebo vybavení prostor alarmem). V žádném případě také nelze monitorovat prostory, ve kterých zaměstnanec odpočívá, převléká se nebo vykonává osobní hygienu.

Stejná pravidla platí i pro atrapy kamer, které vytvářejí na zaměstnance nepřiměřený tlak ze strany zaměstnavatele, což může inspektorát práce vyhodnotit jako porušení povinnosti vytvářet zaměstnancům příznivé pracovní podmínky a zajišťovat bezpečnost a ochranu jejich zdraví při práci.

V každém případě je zaměstnavatel povinen zaměstnance předem o využití kamer na pracovišti informovat (tj. informovat o počtu kamer, jejich účelu, umístění a době uložení kamerového záznamu).

MPSV zveřejňovalo osobní údaje zástupců pracovních agentur

Vyhledávač pracovních agentur na webu Ministerstva práce a sociálních věcí zveřejňoval osobní údaje – rodná čísla, rodná příjmení a místa narození více než dvou tisíc odpovědných zástupců a zástupkyň jednotlivých pracovních agentur. Jednalo se o bezpečnostní chybu, kterou po nahlášení MPSV opravilo a dále ji řeší s Úřadem pro ochranu osobních údajů.

MPSV v minulosti řešilo i jiné bezpečnostní chyby, např. když webový formulář pro žadatele o dávku na bydlení, který ministerstvo spustilo koncem července 2022, posílal informace o návštěvnících do reklamních systémů společnosti Google, nebo když formulář pro žadatele o příspěvek na dítě, zasílal adresy žadatelů bez jejich souhlasu mimo Evropskou unii.

Nová úprava DPIA

Legislativní pravidla vlády ČR stanovují pravidla pro zpracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment – DPIA). Do legislativních pravidel vlády je zavedena přesná struktura pro zpracování posouzení vlivu na ochranu osobních údajů, tzv. legislativní DPIA.

Legislativní DPIA je nutné zpracovat u každého návrhu právního předpisu, včetně nařízení vlády nebo vyhlášky. To znamená, že pokud je právním základem zpracování osobních údajů plnění právní povinnosti, je povinnost správce osobních údajů zpracovat DPIA nahrazena zpracovanou legislativní DPIA v okamžiku předložení normy do legislativního procesu. To vychází z ustanovení Nařízení GDPR, podle kterého se vliv neposuzuje, byl‑li posouzen jako součást obecného posouzení dopadů v souvislosti s přijetím právního předpisu.

Nová struktura pro zpracování legislativního DPIA:

  • Vysvětlení účelu navrhovaného zpracování osobních údajů
  • Popis návaznosti na stávající a připravované zpracování osobních údajů
  • Posouzení navrhovaného řešení zpracování z hlediska nezbytnosti, přiměřenosti ve vztahu k účelu zpracování osobních údajů
  • Posouzení rizik pro práva a svobody fyzických osob
  • Stanovení možných opatření ke snížení rizik pro práva a svobody fyzických osob

Úřad pro ochranu osobních údajů proto připravuje změnu stávajícího návodu k posouzení vlivu na ochranu osobních údajů u návrhů právních předpisů (DPIA), který bude předložen k veřejné konzultaci.

Nová metodika ÚOOÚ ke kamerovým systémům

Úřad pro ochranu osobních údajů vydal začátkem února 2024 novou metodiku ke kamerovým systémům (https://uoou.gov.cz/media/clanky/dokumenty/metodika-kamerove-systemy-webpdf.pdf), která má zásadní dopad do praxe. Vydání konečné verze metodiky předcházela veřejná konzultace a vypořádání řady připomínek z praxe.

Cílem metodiky ke kamerovým systémům, která je pojmenovaná jako Metodika k návrhu a provozování kamerových systémů z hlediska zpracování a ochrany osobních údajů, je jasnější výklad povinností v oblasti zpracování osobních údajů kamerovými systémy. Metodika poskytuje správcům osobních údajů komplexní návod, jak se zo­rientovat v plnění řady povinností. Dle vyjádření ÚOOÚ užívání metodiky není pro správce osobních údajů povinné, nicméně ÚOOÚ nastavuje určitý standard, který pak může od správců očekávat.

Metodika ke kamerovým systémům je rozdělena na tři části:

  • první část metodikyúvod: vysvětlení proč metodika vznikla a jak jí používat;
  • druhá část metodiky – popis kamerového systému: podrobný popis, co lze považovat za kamerový systém z technického pohledu včetně požadavků na kamerové systémy jako takové a meze některých parametrů určující, zda se jedná o zpracování osobních údajů dle Nařízení GDPR, či nikoliv;
  • třetí část metodiky – požadavky na zpracování osobních údajů kamerovým systémem: jednotlivé povinnosti dle Nařízení GDPR, konkrétní pokyny, jak kamerový systém správně implementovat z pohledu ochrany osobních údajů, vzor balančního testu.

Podle této nové metodiky je nezbytné GDPR řešit u všech kamer / kamerových systémů, které zachycují fyzické osoby způsobem umožňující je identifikovat / rozeznat, tj. postava v záběru zabírá 25 % a více obrazu. Metodika tedy přistupuje ke kamerovým systémům dle možnosti identifikace fyzických osob, ne dle toho, jestli kamerový systém pořizuje a ukládá záznam, nebo je provozován v online režimu.

ÚOOÚ v rámci metodiky definuje základní dobu uchování kamerového záznamu 72 hodin s možností případně delší doby uchovávání, kterou ale musí správce osobních údajů řádně odůvodnit a vysvětlit. Například v případě školy ÚOOÚ uvádí jako dostačující dobu uchování 7 dní, o hlavních prázdninách může být doba prodloužena např. na 3 týdny.

Kontrolní plán ÚOOÚ pro rok 2024

Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách (https://uoou.gov.cz/novinky/vse/zverejnen-kontrolni-plan-uradu-pro-rok-2024) kontrolní plán pro rok 2024. Plánované kontroly provede Oddělení bezpečnostních agend, Oddělení kontroly soukromého sektoru, Oddělení kontroly veřejných subjektů a Oddělení obchodních sdělení.

V prvním čtvrtletí roku 2024 ÚOOÚ vytipuje minimálně tři subjekty provozující rozvážkové služby, u kterých bude provedena kontrola týkající se rozesílání nevyžádaných obchodních sdělení e-mailem, prostřednictvím mobilní aplikace či přes SMS.

Ve druhém čtvrtletí 2024 bude ÚOOÚ kontrolovat využívání dat z registru obyvatel orgány veřejné moci podle zákona č. 111/2009 Sb., o základních registrech. ÚOOÚ bude kontrolovat k jakým účelům a na základě jakého právního důvodu úřady tyto údaje používají a zda řádně zaznamenávají své přístupy do registru.

Ve třetím čtvrtletí 2024 bude kontrola zaměřena na praktiky nahrávání telefonických hovorů a na to, jakým způsobem je s pořízenými nahrávkami dále nakládáno.

V posledním čtvrtletí 2024 provede ÚOOÚ kontrolu zpracování osobních údajů Policií ČR.

V průběhu roku budou kontroly zaměřeny i na problematiku zpracování osobních údajů v oblasti víz a schengenského prostoru – ÚOOÚ bude zejména kontrolovat zpracování osobních údajů zastupitelskými úřady při vydávání víz a používání Vízového, Schengenského a Celního informačního systému.

Vedle plánovaných kontrol bude ÚOOÚ provádět i neplánované incidenční kontroly, a to na základě obdržených stížností subjektů údajů nebo na základě jiných kvalifikovaných podnětů (např. podnětů obdržených od dozorových úřadů jiných členských států EU, soudů, policie apod.).

V letošním roce se ÚOOÚ opět společně s dalšími evropskými dozorovými úřady zapojí do koordinované evropské kontrolní akce, která je zaměřena na implementaci práva na přístup ze stany správců osobních údajů v rámci tzv. Coordinated Enforcement Framework 2024 (CEF).

Počet kybernetických incidentů v roce 2023

Národní úřad pro kybernetickou a informační bezpečnost v roce 2023 zaregistroval celkem 262 kybernetických incidentů. Jedná se téměř o dvojnásobný nárůst oproti roku 2022, kdy bylo zaregistrováno 146 incidentů.

Příčinou nárůstu kybernetických incidentů v loňském roce jsou zejména opakované vlny DDoS útoků vedené proruskými hacktivistickými skupinami. Dva kybernetické incidenty NÚKIB klasifikoval jako velmi významné, tj. incident nejvyšší kategorie závažnosti. Jeden z nich se týkal významné strategické státní instituce a druhý neregulovaného subjektu z obranného sektoru.

Vliv na růst počtu kybernetických útoků v roce 2023 měl i rychlý pokrok v oblasti generativní umělé inteligence (AI) a chatbotů na bázi LLM (Large Language Model).

K posílení kybernetické bezpečnosti České republiky zásadně přispěje nový zákon o kybernetické bezpečnosti, jehož návrh NÚKIB odeslal vloni v prosinci na Legislativní radu vlády. Jedním z hlavních úkolů tohoto nového zákona je zavedení evropské směrnice NIS2 do českého právního řádu.

Zveřejňování osobních údajů úředníků

Pro získávání informací o úřednících a jejich činnosti je velmi často využíván zákon č. 106/1999 Sb., o svobodném přístupu k informacím. Ochrana osobních údajů úředníků je řešena zákonem č. 110/2019 Sb., o zpracování osobních údajů a Nařízením GDPR.

Pro poskytnutí osobních údajů podle zákona o svobodném přístupu k informacím musí být splněny tři základní podmínky:

  • Osobní údaj se musí týkat v zákoně zmíněného subjektu údajů, tj. veřejně činné osoby (typicky soudce či advokát při zastupování svých klientů), veřejných funkcionářů (zastupitel, radní, poslanec) anebo zaměstnanců veřejné správy (úředník nebo jiný zaměstnanec úřadu).
  • Osobní údaj vypovídá o veřejné nebo úřední činnosti, funkčním nebo pracovním zařazení, v souhrnu tedy o profesním, nikoliv soukromém životě.
  • Povinný subjekt profesní údaje poskytne, pokud při posuzování žádosti nedospěje k závěru, že ochrana soukromí subjektu údajů převažuje nad veřejným zájmem na poskytnutí informace.

Vždy je důležité brát v potaz i to, že podle § 5 odst. 3 zákona o svobodném přístupu k informacím jsou informace, které byly poskytnuty individuálnímu žadateli, do 15 dnů rovněž zveřejněny na internetových stránkách veřejného subjektu pro neomezený okruh příjemců.

Přítomnost na pracovišti:

  • Povinností veřejného subjektu je zajistit veřejnou službu, tj. zajistit bezproblémový výkon zákonem svěřené agendy, a to v úředních hodinách, které veřejný subjekt stanoví.
  • Informování veřejnosti o dostupnosti služeb lze primárně naplnit i bez zpracování osobních údajů z docházkového a personálního systému, tedy bez zásahu do práva na ochranu soukromí zaměstnanců subjektu. K naplnění tohoto účelu zcela postačí informace, která oddělení či odbory subjektu jsou kompetentní k vyřízení určitého typu podání či žádosti. Informace o přítomnosti konkrétních zaměstnanců zařazených do těchto organizačních útvarů již nejsou nezbytné, protože z pohledu veřejnosti nejsou relevantní.

Zveřejňování fotografií na webových stránkách:

  • Z důvodu zvýšení otevřenosti veřejné správy velmi často dochází ke zveřejňování portrétních fotografií zaměstnanců na webových stránkách subjektu, a to včetně jejich identifikace – jména, příjmení, úředního zařazení, telefonu a e-mailové adresy.
  • Veřejný subjekt jako správce osobních údajů musí řádně zdůvodnit právní základ pro zpracování osobních údajů zaměstnance (viz čl. 6 Nařízení GDPR). Například obce jako právní základ pro zveřejňování fotografií úředníků obvykle identifikují čl. 6 odst. 1 písm. f) Nařízení GDPR, tzn. zpracování nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany. V některých případech lze využít i souhlas subjektu údajů, který ale musí být dle čl. 7 Nařízení GDPR svobodný, aktivně udělený, transparentní a kdykoliv odvolatelný.
  • V každém případě však lze zveřejnit pouze kontaktní údaje těch úředníků, jejichž náplní práce je styk s veřejností a poskytování služeb veřejnosti.

Žádost o přístup k osobním údajům

Nařízení GDPR nestanovuje žádnou závaznou formu žádosti o přístup žadatele k jeho osobním údajům či způsob podání této žádosti, který by měl žadatel dodržet.

Evropský sbor pro ochranu osobních údajů (EDPB) správcům osobních údajů doporučuje, aby zavedli uživatelsky přívětivý komunikační kanál, jehož prostřednictvím lze žádost o přístup k osobním údajům podat. Podle vyjádření EDPB zavedení jednotného kanálu pro podání žádosti o přístup k osobním údajům přispívá k usnadnění práce s vyřizováním žádostí.

Pokud správce zřídí zvláštní kanál pro vyřizování žádostí o přístup k osobním údajům a žadatel využije při podání žádosti některý z dalších uvedených kontaktů, který není zjevně určený pro jiné záležitosti (např. kontakt na Pověřence pro ochranu osobních údajů, kontakt na správce uvedený v Informačním memorandu apod.), musí správce přijatou žádost vyřídit. Správce se naopak nemusí zabývat žádostí zaslanou na náhodný nebo nesprávný kontakt, který správce přímo neposkytl nebo který zjevně není určen pro vyřizování žádostí o přístup k osobním údajům.

Dle vyjádření EDPB je nezbytné žadateli zaslat písemné potvrzení o přijetí žádosti, aby žadatel obdržel informaci, že se správce žádostí zabývá, a měl možnost kontrolovat, zda je dodržena měsíční lhůta předepsaná k vyřízení žádosti.

Při vyřizování přijaté žádosti musí správce řádně identifikovat a ověřit totožnost žadatele, a to nejen z pohledu určení čí a jaké osobní údaje ve svých databázích hledá, ale také z důvodu prevence úniku osobních dat, ke kterému by došlo, kdyby byly údaje poskytnuty jinému subjektu než jejich nositeli. Při identifikaci a ověření totožnosti žadatele musí správce dodržet zásadu minimalizace údajů, tj. správce nesmí požadovat více osobních údajů, než je pro identifikaci a ověření totožnosti žadatele nezbytné. Prokázání totožnosti žadatele prostřednictvím průkazu totožnosti může správce žádat pouze na základě provedeného posouzení přiměřenosti, např. při zpracování zvláštní kategorie osobních údajů či při zpracování představující pro žadatele riziko (např. informace o zdravotním stavu). Nejsou-li k ověření totožnosti nutné veškeré údaje uvedené na průkazu totožnosti, měl by správce žadatele informovat, které údaje nejsou potřebné, a dát mu možnost tyto údaje skrýt.

Na základě vyřízení žádosti správce poskytne žadateli výpis či kopii osobních údajů, které správce o žadateli zpracovává. V rámci poskytnutých informací správce musí uvést i údaje, které jsou nepřesné, nebo operace zpracování, jež zcela nejsou v souladu s aktuálně platnou legislativou. Cílem výkonu práva na přístup k osobním údajům je totiž také odhalení různých nepřesností ve zpracovávaných údajích či kontrola zákonnosti zpracování.

V případě žádosti žadatele správce může žadateli poskytnout informace o zpracovávaných osobních údajích ústně prostřednictvím nahlédnutím do příslušných souborů na místě, anebo na dálku bez možnosti stažení.

Poskytnutí kopie zpracovávaných osobních údajů bezplatně / za poplatek

Dle čl. 15 odst. 3 Nařízení GDPR má správce osobních údajů povinnost poskytnout žadateli na základě předložené žádosti o přístup k osobním údajům kopii zpracovávaných osobních údajů žadatele.

Povinnost poskytnout kopii údajů neznamená, že správce je povinen poskytnout žadateli kopie celých dokumentů, které osobní údaje obsahují. Správce musí žadateli poskytnout věrnou reprodukci (kopii) jeho zpracovávaných osobních údajů, tj. kompilaci obsahující všechny relevantní osobní údaje žadatele zpracovávané správcem, a to včetně potřebných informací nezbytných k tomu, aby žadatel pochopil, jakým způsobem jsou jeho data zpracovávána a mohl ověřit zákonnost zpracování tohoto zpracování.

Nutnou podmínkou poskytnutí osobních údajů je anonymizace osobních údajů třetích osob, které mohou být v poskytnuté kopii uvedeny.

Správce osobních údajů má povinnost poskytnout první kopii zpracovávaných osobních údajů žadatele bezplatně (v rámci podané žádosti v daném čase). Poskytnutí dalších kopií zpracovávaných osobních údajů žadatele může správce osobních údajů zpoplatnit. Pokud se správce rozhodne tento poplatek vyúčtovat, měl by na tuto skutečnost žadatele předem upozornit a informovat ho co nejpřesněji o výši svých nákladů, aby měl subjekt údajů možnost se rozhodnout, zda na žádosti trvá, nebo ji vezme zpět.

Poplatek za poskytnutí kopie zpracovaných osobních údajů žadatele musí být přiměřený a správce by měl proaktivně své náklady optimalizovat tak, aby výši poplatku udržel na nízké úrovni.

Plán vedení centrální evidence ubytovaných

Česká republika plánuje od roku 2025 evidovat kdo a kdy se ubytoval v hotelu, penzionu či apartmánu prostřednictvím centrálního systému eTurista. V současné době se hosté hotelů a penzionů zapisují do ubytovacích knih vedených jednotlivými ubytovateli.

Cílem centrálního systému eTurista je dle vyjádření Ministerstva pro místní rozvoj lepší přehled o turistickém ruchu a méně byrokracie pro podnikatele. Provozovatel hotelu, penzionu či apartmánu prostřednictvím centrálního systému eTurista nahlásí MMR, koho ubytoval, a ministerstvo následně připraví souhrnné informace pro statistický úřad či v případě ubytování cizince provede hlášení v policejní databázi Ubyport. Systém bude umožňovat i výběr poplatku z ubytování.

Plánovaný centrální systém eTurista bude tedy obsahovat velké množství citlivých údajů o pohybu jednotlivce a informace o tom, s kým tráví čas. Předpokládá se, že informace o tom, kdo byl kde ubytovaný, se budou v systému uchovávat, proti neoprávněnému přístupu by je ale měly chránit státní registry. Jméno, datum narození a další informace ubytovaného systém využije, aby hosta ztotožnil v registru obyvatel, do databáze ministerstva se pak uloží pouze agendový identifikátor fyzické osoby (AIFO).

Vznik centrálního systému eTurista chce Ministerstvo pro místní rozvoj financovat z Národního plánu obnovy, což ale dle dotačních pravidel znamená systém spustit do konce letošního roku. Novelu zákona o cestovním ruchu ještě čeká projednání vládou, následně musí proběhnout legislativní proces v Parlamentu, prováděcí vyhláška a až pak bude možné začít systém programovat. Odhadované náklady na vývoj a implementaci systému jsou dle ministerstva 50 – 60 mil. Kč.

Aplikace eDoklady – vyšší ochrana osobních údajů

Elektronická verze občanského průkazu slibuje vyšší úroveň kontroly nad osobními údaji. Zároveň poskytuje možnost sledovat historii přístupu k údajům a zjistit, kdy a jaké údaje byly načteny.

Aplikace respektuje zásadu minimalizace, proto umožňuje, aby příjemce obdržel jen ty informace, které v konkrétní situaci potřebuje. Proto při ověřování věku zákazníka (např. při prodeji alkoholu nebo zlevněného vstupného) již prodavač nemá přístup ke kompletnímu fyzickému občanskému průkazu; vidí pouze fotografii a informaci o tom, zda daná osoba dosáhla plnoletosti.

Stejně tak například při ověřování totožnosti má kontrolující osoba přístup pouze k fotografii a celému jménu. Plné předání údajů, od fotografie až po místo narození, trvalý pobyt, datum vydání, platnost dokladu nebo podpis držitele, nastává pouze při plné kontrole dokladu. Uživatel aplikace eDoklady má vždy právo vybrat, jaké údaje chce v daném okamžiku skutečně sdílet a jaké sdílet odmítne.

Samotné využití elektronické podoby občanského průkazu je rozděleno do tří fází. První fáze začala 20. ledna 2024, kdy ústřední správní úřady, jako jsou ministerstva, Úřad vlády ČR, Český statistický úřad a Energetický regulační úřad, začaly akceptovat aplikaci eDoklady. Od července 2024 bude možné aplikaci využívat i v interakci s policií, soudy, finančními a živnostenskými úřady, úřady práce a Českou správou sociálního zabezpečení, stejně jako na katastrálních úřadech, krajích a obcích s rozšířenou působností. Od ledna 2025 budou elektronickou podobu občanského průkazu přijímat také školy, notáři, banky, pošty, zastupitelské úřady a soukromé osoby.

Povinná dokumentace GDPR

Seznam povinné dokumentace týkající se ochrany osobních údajů, kterou by měl mít zpracovanou správce osobních údajů a zpracovatel osobních údajů, není explicitně uveden v Nařízení GDPR, ani v žádném jiném právním předpisu řešící ochranu osobních údajů.

Veškerá dokumentace týkající se ochrany osobních údajů musí být zpracována na základě potřeb konkrétní organizace / společnosti a ve vztahu k specifickým vnitřním uspořádáním či operacím zpracování. Z těchto důvodů tedy nelze sestavit přesný seznam dokumentů pro správce a zpracovatele osobních údajů, vždy musí být zohledněna konkrétní situace zpracování osobních údajů.

Pro přehlednost níže uvádíme výčet dokumentů, které jsou v rámci ochrany osobních údajů zpracovávány v různých typech organizací / společností:

  • souhlas se zpracováním osobních údajů;
  • informace subjektům údajů dle čl. 13 Nařízení GDPR (pro všechny subjekty, zaměstnance, zákazníky);
  • informace subjektům údajů dle čl. 14 Nařízení GDPR (když se osobní údaje získávají mimo zdroj subjektu údajů);
  • interní směrnice dle čl. 24 Nařízení GDPR;
  • zpracovatelské smlouvy;
  • posouzení oprávněného zájmu;
  • dokumentace k DPO (Pověřenec pro ochranu osobních údajů) – posouzení potřebnosti DPO, posouzení kvalifikace DPO, posouzení priorit práce DPO, jmenování DPO;
  • dokumentace žádostí o výkon práv subjektů údajů;
  • dokumentace o zabezpečení (bezpečnostní směrnice);
  • záznamy o činnostech zpracování dle čl. 30 Nařízení GDPR;
  • metodika posuzování nutnosti hlášení porušení zabezpečení;
  • posouzení rizik zpracování jednotlivých operací;
  • posouzení vlivu na ochranu osobních údajů;
  • metodika a dokumentace předávání osobních údajů mimo EU;
  • další relevantní dokumentace.

Některé z výše uvedených dokumentů bývají zahrnuty v interní směrnici organizace / společnosti, metodické postupy bývají popsané v rámci komplexní interní metodiky atd. Seznam a rozsah dokumentace týkající se ochrany osobních údajů záleží na typu organizace / společnosti – důležitý je vždy obsah jednotlivých dokumentů, ne počet zpracovaných dokumentů.

Porušení zabezpečení osobních údajů nemusí znamenat porušení GDPR

V případě úniku osobních údajů v důsledku kybernetického útoku, se automaticky nemusí jednat o porušení Nařízení GDPR. Porušení ochrany osobních údajů musí být vždy posuzováno konkrétně v kontextu nastalé situace.

Soudní dvůr EU v prosinci 2023 vydal rozhodnutí (viz rozhodnutí k věci C-340/21), že samotné porušení zabezpečení osobních údajů nepostačuje k tomu, aby bylo možné konstatovat porušení čl. 24 a čl. 32 Nařízení GDPR. Soudní dvůr EU dále dospěl k závěru, že obava z možného zneužití osobních údajů třetími stranami, kterou má subjekt údajů v důsledku porušení Nařízení GDPR, může sama o sobě představovat nehmotnou újmu ve smyslu GDPR.

Neoprávněné poskytnutí nebo zpřístupnění osobních údajů třetími stranami ve smyslu čl. 4 bodu 10 Nařízení GDPR tedy nepostačuje k tomu, aby bylo možné konstatovat, že technická a organizační opatření zavedená správcem osobních údajů nejsou „vhodná“ ve smyslu čl. 24 a čl. 32 Nařízení GDPR, a že došlo k porušení GDPR chybou správce osobních údajů. Na základě posouzení všech aspektů úniku osobních údajů a porušení zabezpečení třetí stranou může být správce osobních údajů zproštěn odpovědnosti za únik osobních údajů.

Kybernetické incidenty koncem roku 2023

Národní úřad pro kybernetickou a informační bezpečnost evidoval v prosinci 2023 mírný nárůst počtu evidovaných kybernetických incidentů. Bylo evidováno celkem 12 incidentů, z nichž všechny byly méně významné a v rámci klasifikace převažovala kategorie „Dostupnost“ (narušení dostupnosti způsobené DoS/DDoS útokem nebo sabotáží), „Informační bezpečnost“ (neautorizovaný přístup k datům či neautorizovaná změna informace) a „Průnik“ (kompromitace aplikace nebo uživatelského účtu).

Za registrovanými DDoS útoky stála skupina NoName057(16) a také skupina Anonymous Russia, která se na české cíle zaměřila po více než půl roce. U několika DDoS útoků není jejich původce prozatím známý.

I přesto, že v prosinci 2023 došlo k mírnému nárůstu evidovaných incidentů oproti listopadu 2023, tak i nadále byla výsledná hodnota poměrně nízko pod ročním průměrem, který se pohyboval okolo 19 incidentů měsíčně.

Nová doména webových stránek NÚKIB

Od poloviny prosince 2023 Národní úřad pro kybernetickou a informační bezpečnost používá pro provoz svých webových stránek https://nukib.gov.cz doménu gov.cz, která byla zavedena s cílem zvýšit kybernetickou bezpečnost a podpořit uživatelskou přehlednost.

Webové stránky NÚKIB budou nadále dostupné i na adrese nukib.cz a na novou primární subdoménu pod gov.cz budou automaticky přesměrovány.

Základní pravidla realizace online jednání v souladu s GDPR

Při organizaci a realizaci online jednání / videokonferencí je nezbytné dodržet základní pravidla a postupy dodržující ochranu osobních údajů účastníků jednání v souladu s Nařízením GDPR, tj. zejména:

  • Zvolit důvěryhodného poskytovatele videokonferenčních služeb a mít s ním uzavřenou smlouvu (zajistit, aby přenášené informace byly řádně šifrovány a zabezpečeny před neoprávněným přístupem).
  • V souladu s principem GDPR „minimalizace dat“ zpracovat seznam osobních údajů získaných z online jednání, např. jména, příjmení, uživatelská jména, e-mailové adresy, mobilní telefonní čísla atd.
  • Stanovit účel zpracování osobních údajů v souladu se zákonným důvodem, tedy proč budou osobní údaje účastníků online jednání shromažďovány a jak s nimi bude naloženo.
  • Splnit informační povinnost, tj. na začátku online jednání upozornit účastníky jednání na zpracování osobních údajů (které a k jakému účelu budou osobní údaje zpracovány, jakým způsobem a na základě jakého právního důvodu).
  • Upozornit účastníky online jednání na eliminaci příp. narušení jejich soukromí při práci z domova, např. prostřednictvím nastavení filtru či falešného pozadí.
  • Informovat účastníky online jednání o příp. nahrávání jednání, jak dlouho a kde bude nahrávka uchovávána.
  • Bezpečně uložit záznam z online jednání a zpřístupnit ho pouze oprávněným osobám.
  • Umožnit účastníkům online jednání opravu nebo odstranění zaznamenaného obsahu jednání.

Uživatelé Facebooku a Instagramu si mohou zaplatit za své soukromí

Na základě velkého počtu pokut a zákazů udělených dozorovými orgány v oblasti ochrany osobních společnost Meta přišla s novou praktikou ohledně zpracování osobních údajů. Uživatelé Facebooku a Instagramu si v současné době mohou při spuštění aplikace vybrat ze dvou možností – buď uhradit měsíční poplatek (12,99 EUR a za Instagram dodatečných 8 EUR) výměnou za to, že nebudou využívány jejich osobní údaje pro účely reklamy, nebo udělit souhlas se zpracováním osobních údajů.

Podle organizace NOYB je postup praktiky „Pay or Okay (Zaplať, nebo souhlas)“ nezákonný. Organizace NOYB koncem minulého roku již podala u rakouského dozorového orgánu stížnost na praktiku společnosti Meta, v níž přístup společnosti Meta kritizuje a napadá. Podaná stížnost je založena na tvrzení, že nikdo by neměl být nucen platit za něco, co je jeho přirozeným právem a co mu zákon přikládá.

NOYB upozorňuje i na to, že rozhodnutí o postupu společnosti Meta by mohlo otevřít dveře pro ostatní poskytovatele sociálních sítí a aplikací, kteří by se mohli rozhodnout příklad společnosti Meta následovat, a s ohledem na předpokládané měsíční poplatky za používané aplikace by se soukromí / ochrana zpracovávaných osobních údajů stala „právem bohatých“.

Právo na náhradu újmy při úniku osobních údajů z Facebooku

V dubnu 2021 došlo z důvodu bezpečnostní chyby na straně společnosti Meta k velké krádeži dat na Facebooku, která se dotkla i cca 1,4 milionu uživatelů z České republiky. Ukradená data (jména, e-mailové adresy, telefonní čísla, datum narození, příbuzenský vztah a další osobní údaje) se objevila na hackerských fórech a mohla být použita k podvodům, manipulacím a kybernetickým útokům.

Dle aktuálních informací společnost Meta bude muset za svou nedbalost, která způsobila únik osobních dat z Facebooku, zaplatit, a to i samotným dotčeným uživatelům. Soudy přiznávají poškozeným uživatelům Facebooku odškodné až do částek, které v přepočtu převyšují 100 tis. Kč. Společnost Meta se v řízeních brání, ale soudy se velmi často staví na stranu poškozených uživatelů. Ve prospěch uživatelů hovoří i nedávné rozhodnutí Soudního dvora EU, ve kterém je přijat závěr, že člověk poškozený porušením GDPR nemusí utrpět újmu o určité závažnosti k tomu, aby mohl požadovat její odčinění (viz rozsudek Soudního dvora ve věci C-300/21).

Pokud je uživatel Facebooku dotčen únikem osobních údajů, existuje velká pravděpodobnost, že má nárok na náhradu škody nebo nemajetkové újmy, tj. poškozený uživatel může získat kompenzaci za to, že jeho údaje byly ukradeny a dostaly se do oběhu, a to i v případě, že uživatel (zatím) v důsledku kybernetických útoků neutrpěl žádnou přímou finanční škodu (např. náklady spojené se změnou telefonního čísla). Tato kompenzace se opírá o Nařízení GDPR, které definuje povinnosti zpracovatele osobních údajů, mj. povinnost tyto údaje chránit, povinnost oznamovací a informační atd.

Uživatelé Facebooku si mohou ověřit např. na webové stránce https://sec.hpi.uni-potsdam.de/ilc/search, zda se hackerský útok týkal i jich. Pokud ano, tak je doporučen následující postup:

  • Nastavit si nové a silné heslo, ideálně pro každý z používaných internetových účtů.
  • Příp. změnit e-mailovou adresu, číslo mobilního telefonu.
  • Aktivovat dvoufaktorové ověřování.
  • Zvážit možnost uplatnění nároku na finanční kompenzaci po společnosti Metě (Facebooku), a to buď mimosoudním uplatněním nároků, nebo žalobou u soudu. Společnost Metu může uživatel zažalovat i u českých soudů, je doporučeno prostřednictvím advokátní společnosti nejdříve podat prvotní výzvu a až pak příp. žalobu.

Rozsah a způsob zpracování osobních údajů automobilovými společnostmi

Elektronizace a konektivita automobilů zažívá v posledních letech obrovský rozmach, což s sebou nese i časté přenosy získaných dat. Automobil o svém řidiči získává obdobný objem údajů a dat jako např. chytrý mobilní telefon. Automobil stejně jako mobilní telefon lze považovat za koncové zařízení, do kterého data vkládají sami uživatelé.

Mnoho modelů automobilů uváděných na trh má v sobě zabudovaná různá telematická zařízení, snímače a čidla připojená jak z vnější strany automobilu, tak i na palubní desce. Tato čidla a senzory sbírají data o řidiči, ale i o spolucestujících a dalších osobách. Standardní senzory zaznamenávají výkon motoru, spotřebu, stav nádrže a další technické aspekty vozidla. Čidla zabudovaná v automobilu mohou ale zaznamenávat i jízdní návyky, navštívená místa, pohyby očí řidiče, jeho puls nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby. Většinu těchto údajů lze považovat za osobní, jelikož i přes to, že často nejsou spojeny s konkrétním jménem, umožňují přímou či nepřímou identifikaci osoby.

Většina elektronizovaných automobilů umožňuje i funkci připojení mobilního telefonu k automobilu, díky kterému pak dochází k širšímu rozsahu zpracování dat, např. o používaných aplikacích, uskutečněných hovorech atd.

Uživatelé si velmi často ani neuvědomují, jaká data o nich mohou být prostřednictvím používaného automobilu shromažďována a kam mohou být předávaná. Údaje získané prostřednictvím automobilů mohou být poskytovány výrobci, příp. společnosti v rámci koncernu výrobce, prodejcům, servisním centrům, marketingovým a reklamním agenturám, pojišťovnám či leasingovým společnostem. Některé informace (např. o navštívení webové stránky dané automobilové společnosti) mohou být v rámci cílení reklamy dokonce poskytovány sociálním sítím.

Dle Nařízení GDPR jsou jednotlivé složky koncernů automobilek sídlící na území EU povinny dodržovat vůči svým uživatelům (subjektům údajů) informační povinnost vzhledem ke zpracování osobních údajů. Na webových stránkách automobilové značky by vždy měl být zveřejněn dokument informující o rozsahu, účelu a způsobu zpracování osobních údajů.

Eliminaci sběru osobních údajů při používání automobilu lze zajistit např.:

  • seznámením se zásady ochrany osobních údajů zveřejněnými na webových stránkách dané automobilové společnosti;
  • překontrolováním, k čemu konkrétně se udělovaný souhlas se zpracováním osobních údajů vztahuje;
  • minimalizací připojení mobilního zařízení k automobilu a používání aplikací či alespoň omezení jejich oprávnění v telefonu;
  • vypnutí funkce sledování lokace atd.

Aktualizace Metodického návodu k aplikaci zákona o registru smluv

Na základě novely zákona o elektronických úkonech a autorizované konverzi dokumentů, ve které došlo ke změně § 14b zákona od 1. února 2024 v tomto znění:

„Digitální a informační agentura zapíše údaje o fyzické nebo podnikající fyzické osobě, která má zřízenu a zpřístupněnu datovou schránku, do seznamu držitelů datových schránek, na žádost této osoby“.

proběhla i úprava Metodického návodu k aplikaci zákona o registru smluv (https://www.dia.gov.cz/egovernment/registr-smluv/metodicke-dokumenty/).

Jedná se o důležitou změnu v oblasti zpracování osobních údajů, konkrétně ve zveřejňování jmen a adres uživatelů datových schránek. Novela nově stanoví, že pro fyzické osoby a podnikající fyzické osoby budou údaje zapsány pouze na její žádost, tedy ne automaticky.

Seznam držitelů datových schránek z řad fyzických osob a podnikajících fyzických osob bude smazán a nově se do něj budou dostávat jen údaje o těch osobách, které o to požádají. Proto metodika nově doporučuje Identifikátor datové schránky fyzická osoba nebo podnikající fyzická osoba neuvádět.

Sledování zaměstnanců při podezření z porušení pracovních povinností

Německý zaměstnavatel zadal sledování svého zaměstnance detektivní kanceláří, aby potvrdil podezření, že zaměstnanec čerpá nemocenskou dovolenou, i když není nemocný. Následně výsledky šetření soukromého detektiva použil jako důvod pro rozvázání pracovního poměru.

Soud v Německu však tento postup vyhodnotil jako zásah do práva zaměstnance na ochranu osobnosti, přičemž je to důvod pro aktivaci čl. 82 Nařízení GDPR, tedy že zaměstnanec má nárok na náhradu nemajetkové újmy. Proti tomuto rozhodnutí se zaměstnavatel odvolal, jeho odvolání však bylo zamítnuto.

Podle soudu zaměstnavatel tím, že se rozhodl monitorovat zaměstnance prostřednictvím soukromého detektiva, použil invazivní opatření a dopustil se tím porušení zásady minimalizace.

Zasílání obchodních sdělení ve prospěch třetích stran

Úřad pro ochranu osobních údajů udělil rekordní pokutu ve výši 7,7 milionu Kč za zasílání obchodních sdělení ve prospěch třetích stran společnosti zajišťující přepravu. Ta šířila od roku 2015 na e-mailové adresy svých zákazníků obchodní sdělení ve prospěch třetích stran, aniž disponovala předchozím souhlasem adresátů.

Vzhledem k tomu, že společnost propagovala v podobě nabídek různých slev a voucherů třetí strany, bylo třeba, aby pro takové šíření obchodních sdělení disponovala předchozím souhlasem adresátů. Nenabízela totiž vlastní výrobky či služby, a nemohla tedy využít právní důvod „oprávněného zájmu přímého marketingu“, který se vztahuje na kontakty získané v souvislosti s prodejem výrobku či služby, a to za účelem nabídky vlastních obdobných výrobků či služeb.

Obchodní sdělení byla vkládána do e-mailových zpráv obsahujících potvrzení o provedeném nákupu, a adresáti tak neměli žádnou možnost tato obchodní sdělení jakýmkoliv způsobem odmítnout.

Jde o dosud nejvyšší pravomocně uloženou pokutou ze strany ÚOOÚ. Její výše odráží zejména rozsah takto oslovených adresátů, kterých bylo přes 40 milionů, dobu, po kterou byla daná obchodní sdělení zasílána, a způsob oslovení.

Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravil ve spolupráci se Státní pokladnou Centrem sdílených služeb, s. p. (SPCSS) podpůrný materiál Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti, který navazuje na dříve vydaného Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti.

Provedení hodnocení rizik u výběrového řízení před uzavřením smlouvy je klíčovým krokem v rámci řízení dodavatelů. NÚKIB proto ve spolupráci s SPCSS vytvořil Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti. Materiál přibližuje problematiku hodnocení rizik u výběrového řízení s důrazem na veřejné zakázky hlavně těm, kteří s ní mají jen minimální nebo žádné zkušenosti. Ti zkušenější, kteří jsou zodpovědní za hodnocení rizik v procesu řízení dodavatelů, mohou dokument využít jako zdroj inspirace k vylepšení vlastních zavedených postupů.

Nově zveřejněný podpůrný materiál představuje jeden z možných správných postupů. Jedná se pouze o doporučení, přičemž je nutné uvedené principy přizpůsobit prostředí konkrétní organizace.

Dokument obsahuje teoretické i praktické části a modelové příklady. V teoretické části je rozebírána opora hodnocení rizik v legislativě a jednotlivá ustanovení vyhlášky o kybernetické bezpečnosti (VKB), která se týkají řízení dodavatelů. Praktická část obecně popisuje, jaké kroky jsou nutné při hodnocení rizik provést. Modelové příklady obsahují konkrétní ukázky s využitím veřejné zakázky, které jsou aplikovány v prostředí fiktivního ministerstva. Podpůrný materiál vychází z VKB, je ale doplněn o řadu zkušeností z praxe.

NÚKIB k řízení dodavatelů vydal tyto metodiky:

  • Metodika řízení dodavatelů
    • Podpůrný materiál doplněný o přílohy zabývá se řízením dodavatelů v průběhu celého životního cyklu dodávky. Jeho součástí jsou doporučení a praktické postupy pro tvorbu politik řízení dodavatelů podle požadavků vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti.
    • Příloha 1 – Evidence dodavatelů
    • Příloha 2 – Životní cyklus dodavatelského vztahu
    • Příloha 3 – Registr rizik
    • Příloha 4 – Hodnocení dodavatelů
  • Zadávání veřejných zakázek v oblasti ICT a kybernetická bezpečnost
    • Účelem dokumentu je poskytnout veřejným zadavatelům, zejména správcům kritické informační infrastruktury (KII), významných informačních systémů (VIS) a informačních systémů základní služby (PZS) podporu při zadávání veřejných zakázek v oblasti informačních a komunikačních technologií s cílem omezit negativní dopady, které může tento formalizovaný proces výběru dodavatele mít pro oblast kybernetické bezpečnosti. Cílem dokumentu není poskytnout komplexně zpracovaný postup pro zadávání veřejných zakázek, spíše je koncipován jako shrnutí možností, které zadavatelé pro řešení problematických částí mají.
    • Dokument byl vypracován NÚKIB za spolupráce s Ministerstvem pro místní rozvoj, jako gestorem zákona o zadávání veřejných zakázek, a konzultován s Úřadem pro ochranu hospodářské soutěže jako dohledovým orgánem. Dokument nelze považovat za stanovisko daných institucí k otázkám vztahujícím se ke konkrétním případům, neboť ty jsou vydávány vždy na základě jejich konkrétních okolností.
  • Požadavky na smlouvy s dodavateli
    • Vodítko k vysvětlení jednotlivých požadavků vyhlášky č. 82/2018 Sb. kladených na smlouvy s dodavateli. Jedná se o vysvětlení jednotlivých požadavků přílohy č. 7 této vyhlášky. Materiál byl doplněn o poznatky z praxe (verze 1.2).
  • Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti
    • Tento podpůrný materiál má přiblížit problematiku hodnocení rizik u výběrového řízení s důrazem na provedení formou veřejné zakázky hlavně těm, kteří s ní mají jen minimální nebo žádné zkušenosti. Ti se zkušenostmi, kteří jsou zodpovědní za hodnocení rizik v procesu řízení dodavatelů, mohou dokument využít jako zdroj inspirace k vylepšení vlastních zavedených postupů.
  • Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti
    • Tento podpůrný materiál má přiblížit problematiku řízení aktiv a rizik dle VKB především těm, kteří s ní nemají žádné nebo minimální zkušenosti. Zkušenější manažeři kybernetické bezpečnosti mohou podpůrný materiál využít jako zdroj inspirace pro vylepšení již zavedených postupů. Podpůrný materiál je doplněn o přílohy, které slouží jako inspirace a je nutné je upravit pro potřeby konkrétní organizace.
    • Příloha 1 – Vzorová politika systému řízení bezpečnosti informací
    • Příloha 2 – Vzorová metodika pro identifikaci a hodnocení aktiv a hodnocení rizik
    • Příloha 3 – Zjednodušená dopadová tabulka
    • Příloha 4 – Struktura podpůrných aktiv
    • Příloha 5 – Vzorová pravidla ochrany jednotlivých úrovní aktiv
    • Příloha 6 – Vzorové hodnocení aktiv a rizik
    • Příloha 7 – Vzorové prohlášení o aplikovatelnosti
    • Příloha 8 – Vzorový plán zvládání rizik
    • Příloha 9 – Vzorová zpráva o hodnocení rizik
    • Příloha 10 – Vzorové hodnocení rizik pro veřejnou zakázku
    • Příloha 11 – Vzorová zpráva o hodnocení rizik pro veřejnou zakázku
    • Příloha 12 – Vzorové alternativní hodnocení rizik u primárních aktiv
    • Příloha 13 – Vzorový plán zvládání rizik alternativního hodnocení
    • Příloha 14 – Zkratky a používané pojmy

Metodické materiály jsou uvedeny na webových stránkách NÚKIB: https://nukib.gov.cz/cs/kyberneticka-bezpecnost/regulace-a-kontrola/podpurne-materialy/.

ÚOOÚ požaduje odstranění rodných čísel z občanských průkazů

Úřad pro ochranu osobních údajů nesouhlasí s novelou zákona o občanských průkazech, která navrhuje časově neohraničené uvádění rodného čísla v občanském průkazu. Poslanecká sněmovna Parlamentu České republiky schválila návrh zákona, kterým se mění zákon č. 269/2021 Sb., o občanských průkazech,. Ten má zrušit dosud platné ustanovení, které počítá s koncem zapisování rodných čísel do občanských průkazů od roku 2025.

Uvádění rodného čísla v občanském průkazu představuje závažná rizika z hlediska ochrany osobních údajů a soukromí, a to mj. v souvislosti s propojováním dat a možnosti jejich zneužití ve virtuálním prostoru, kde existují jen velmi obtížné možnosti kontroly a nápravy.

Neuvádění rodného čísla v občanském průkaze přitom neznamená jeho zrušení, ale pouze to, že se výrazně omezí možnost jeho potenciálního zneužití. Takové opatření by představovalo podstatné zvýšení standardu ochrany jednotlivce z pohledu základního práva na ochranu osobních údajů.

V rámci veřejné správy byl zákonem č. 111/2009 Sb., o základních registrech zaveden model bezvýznamových identifikátorů. Jednotný a nezměnitelný identifikační údaj (rodné číslo) o fyzické osobě byl nahrazen zdrojovým identifikátorem fyzické osoby (ZIFO) a mnoha agendovými identifikátory fyzické osoby (AIFO). Tím se zabránilo nekontrolovatelnému propojování osobních údajů, aniž by došlo k omezení efektivity veřejné správy.

Tím došlo k doplnění údaje o agendovém identifikátoru do datového fondu konkrétní agendy, čímž veřejná správa od roku 2012 postupně v zásadě naplňuje základní požadavky na ochranu osobních údajů fyzických osob se zabráněním neoprávněného slučování údajů (tzv. profilování) o jedné osobě.

Pro soukromý sektor je od 1. července 2022 v § 12a zákona č. 12/2020 Sb., o právu na digitální služby, zaveden bezvýznamový směrový identifikátor (BSI), který soukromému sektoru plně nahrazuje rodné číslo a má pro něj tu výhodu, že poskytuje státem zaručenou lepší identifikaci jejich klientů, a to bez ohledu na jakoukoliv změnu identifikátorů, včetně rodného čísla. Na rozdíl od rodného čísla však není bezvýznamový směrový identifikátor univerzální, protože je vázán na konkrétního podnikatele. Lidé si přitom bezvýznamový směrový identifikátor pamatovat nemusejí, dokonce se ho ani nedozvědí, protože vůči podnikateli (terminologií zákona „poskytovateli služeb“) se budou identifikovat přirozenými identifikátory a číslem dokladu, zejména občanského průkazu.

Nové webové stránky ÚOOÚ

Úřad pro ochranu osobních údajů od 1. listopadu 2023 spustil ověřovací provoz nových webových stránek úřadu https://uoou.gov.cz. Původní internetové stránky úřadu https://old.uoou.cz jsou stále funkční, ale nejsou již aktualizovány.

Nová podoba webových stránek ÚOOÚ byla spuštěna s přechodem úřadu na novou doménu uoou.gov.cz, který by měl zajistit zvýšení uživatelské přívětivosti internetové prezentace ÚOOÚ a posílení kybernetické bezpečnosti.

Dopad novely zákona o elektronických úkonech a autorizované konverzi dokumentů na zpracování osobních údajů

Ve Sbírce zákonů byl vyhlášen zákon č. 327/2023 Sb., kterým se mění zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů, účinný od 1. února 2024. Novela zákona se týká ustanovení § 14. Jedná se o důležitou změnu v oblasti zpracování osobních údajů, konkrétně ve zveřejňování jmen a adres uživatelů datových schránek. Novela nově stanoví, že pro fyzické osoby a podnikající fyzické osoby budou údaje zapsány pouze na její žádost, tedy ne automaticky.

Informační systém datových schránek (ISDS) je informačním systémem veřejné správy, který obsahuje informace o datových schránkách a jejich uživatelích. Správcem ISDS je od 1. dubna 2023 Digitální a informační agentura, provozovatelem ISDS je držitel poštovní licence.

Dle novelizovaného § 14b zákona od 1. února 2024 „Digitální a informační agentura zapíše údaje o fyzické nebo podnikající fyzické osobě, která má zřízenu a zpřístupněnu datovou schránku, do seznamu držitelů datových schránek, na žádost této osoby“.

Výsledky dozorové akce EDPB – CEF 2023: Kontrola Pověřenců pro ochranu osobních údajů

Úřad pro ochranu osobních údajů se v letošním roce zapojil do dozorové akce Coordinated Enforcement 2023 realizované Evropským sborem pro ochranu osobních údajů (EDPB). Cílem této dozorové akce, do které se zapojilo celkem 26 evropských dozorových úřadů, je prověření úlohy a postavení Pověřenců pro ochranu osobních údajů v jednotlivých zemích evropského hospodářského prostoru.

V rámci této dozorové akce se český ÚOOÚ zaměřil na postavení Pověřenců pro ochranu osobních údajů působících ve veřejné správě. ÚOOÚ oslovil celkem 14 správců osobních údajů, kteří vyplnili 12-stránkový dotazník rozdělený do čtyř částí. Odpovědi uvedené ve vyplněných dotaznících indikují zásadní nedostatky v postavení Pověřenců pro ochranu osobních údajů ve veřejné správě – Pověřenci často nemají přístup k informacím a nejsou zapojováni do procesů souvisejících se zpracováním osobních údajů, tj. nevykonávají svou činnost v souladu s Nařízením GDPR.

Vnitrostátní zjištění jednotlivých evropských dozorových úřadů budou shrnuta ve zprávě EDPB, ve které zúčastněné dozorové úřady zformulují doporučení týkající se činnosti navazující na roční kontrolní činnost. Tato souhrnná zpráva bude zveřejněna začátkem roku 2024.

Pravidla pro pořizování záznamů z online jednání

Při pořizování nahrávek z online jednání dochází často k chybám z pohledu zpracování osobních údajů, které záznamy bezpochyby obsahují. Uvádíme proto základní pravidla, která se liší podle účelu pořízení a především podle míry zveřejnění pořízeného záznamu.

a) Zpřístupnění záznamu uzavřené skupině osob (účastníci a organizátoři jednání)

Právní důvod zpracování:

  • Pracovní jednání – oprávněný zájem správce spočívající v možnosti:
    • pořídit zpětně věrný záznam jednání;
    • sdílet informace z jednání s kolegy, kteří se jednání nemohli zúčastnit (zvýšení efektivity práce);
    • sdílet informace s osobami, které se do projektu zapojí později (rovněž efektivita organizace práce);
    • zpětného hodnocení postupu projektu.
  • Školení, konference, přednášky – oprávněný zájem správce spočívající v možnosti:
    • pořídit záznam z akce tak, aby tento záznam mohl být účastníky školení v budoucnosti konzultován (tj. využití poznatků ze školení v praxi); resp.
    • sdílení školení s osobami, které se jej nemohly zúčastnit, ale poznatky ze školení jsou pro ně relevantní.

Vyžadování souhlasu s nahrávkou

Vzhledem k výše uvedenému není nutné vyžadovat souhlas s nahráváním, nezbytné je však nahrávání účastníkům oznámit a informaci o nahrávání mít po celou dobu zobrazenou (zajistí MS Teams / SW). Pokud by někdo vznesl proti nahrávání námitku, je dostačující doporučit mu vypnout kameru / mikrofon / používat pouze chat.

Příklad znění informace o nahrávání: „Upozorňuji účastníky jednání, že z jednání bude pořízena nahrávka, která bude zpřístupněna členům týmu.“

Podmínkou je, že záznam bude zpřístupněn pouze v rámci uzavřené skupiny příjemců (členů týmu / účastníků akce) a to bez ohledu na to, zda se jedná o zaměstnance organizace nebo externí členy týmu.

b) Zveřejnění záznamu neomezenému okruhu osob, které se mohou se záznamem seznámit

  • V případě, že je na záznamech pouze řečník (zaměstnanec organizace), stačí tohoto zaměstnance o zveřejnění informovat, případně mu umožnit odmítnout přednášet. Pokud je na záznamech rozpoznatelná podoba účastníků jednání / školení, je na místě si od těchto osob vyžádat souhlas.
  • Příklad znění informace o pořízení a zveřejnění nahrávky: „Upozorňuji účastníky jednání, že z jednání bude pořízena nahrávka, která bude následně zveřejněna. Pokud si nepřejete být na nahrávce identifikovatelný, prosím vypněte si kameru a mikrofon a pro komunikaci využívejte chat.“
  • V obou případech je nezbytné nahrávání účastníkům oznámit a informaci o nahrávání mít po celou dobu zobrazenou (zajistí MS Teams / SW). Pokud by někdo vznesl proti nahrávání námitku, je dostačující doporučit mu vypnout kameru / mikrofon / používat pouze chat.
  • V případě veřejné akce je doporučeno na přihlášku uvést informaci o pořízení záznamu: „Na základě oprávněného zájmu správce bude z akce pořízen záznam. Jednání bude probíhat na platformě MS Teams. Pokud si nepřejete být na nahrávce identifikovatelný, prosím vypněte si kameru a mikrofon a pro komunikaci využívejte chat. Záznam bude zpřístupněn oprávněným uživatelům organizace a bude také zveřejněn neomezenému počtu uživatelů / přihlášeným uživatelům na xxx.“

Přísnější pravidla pro zpracování osobních údajů obyvatel Švýcarska

Švýcarsko novelizovalo národní zákon o ochraně osobních údajů. Nově se národní pravidla vztahují na veškeré zpracování dat obyvatel Švýcarska, ať už je prováděno odkudkoliv. Pokud tedy česká společnost zpracovává v rámci své podnikatelské činnosti osobní údaje švýcarských obyvatel nebo má její činnost přímý dopad na zpracování dat ve Švýcarku, musí se od září 2023 řídit novelizovaným švýcarským zákonem o ochraně osobních údajů.

Švýcarská pravidla pro ochranu údajů se nově vztahují jen na fyzické, nikoliv na právnické osoby. Velkým rozdílem oproti unijnímu právu je způsob trestání za porušení pravidel pro zpracování osobních údajů – za úmyslné porušení jsou nyní trestně stíháni odpovědní zaměstnanci správce, typicky na úrovni nejvyššího managementu. Pokuty mohou být uloženy až do výše 250 tis. švýcarských franků (cca 6 mil. Kč).

Česká republika se připojila k prohlášení proti platbám výkupného při ransomwarových útocích

V průběhu konání mezinárodního summitu International Counter Ransomware Summit se Česká republika spolu s dalšími více než 40 státy připojila ke společnému prohlášení proti platbám výkupného při ransomwarových útocích.

Znění společného prohlášení proti platbám výkupného při ransomwarových útocích je zveřejněno na https://www.gov.uk/government/publications/cri-joint-statement-on-ransomware-payments/cri-joint-statement-on-ransomware-payments.

Neplatit výkupné při ransomwarových útocích opakovaně doporučuje i Národní úřad pro kybernetickou a informační bezpečnost – viz varování NÚKIB proti ransomware útokům vydané v červnu 2023.

Hackeři zveřejnili první část dat ukradených z brněnské Univerzity obrany

Hackerská skupina Monti, která je známá svými ransomwarovými útoky, zveřejnila v druhé polovině října 2023 část ukradených dat Univerzity obrany v Brně. Jednalo se o data Fakulty vojenského leadershipu, kateder logistiky a krizového řízení – mezi zveřejněnými dokumenty se objevily i osobní údaje vyučujících vojenských důstojníků vč. jejich dat narození, telefonních čísel a adres, zápisy z porad nebo studijní plány.

Hackeři ze skupiny Monti požadují po svých obětech peníze za vrácení dat, případně výkupné za to, že odcizená data nezveřejní. Univerzita obrany v Brně ale odmítla zaplatit požadované výkupné, a proto hackeři zveřejnili první část ukradených dat.

Dle vyjádření Vojenské kanceláře prezidenta republiky je vážnost úniku dat vysoká: „Studenti univerzity se stanou důstojníky, za 20 let budou na vrcholu velení. Nepřátelské zpravodajské služby bude samozřejmě zajímat, jak vypadá výuka budoucích velitelů.“

Kybernetické útoky prostřednictvím podvodných SMS zpráv

Od konce října 2023 se v České republice objevují podvodné SMS zprávy rozesílané pod hlavičkou Všeobecné zdravotní pojišťovny (VZP). Tyto kybernetické útoky zaměřené na podvodné SMS zprávy neustále narůstají, podle odhadů VZP v ČR koluje tisíce falešných zpráv. Podvodníci podvodné SMS zprávy rozesílají z různých telefonních čísel, proto jejich zablokování není prakticky možné.

Obsah rozesílaných podvodných zpráv je neustále modifikován. Začátkem listopadu klienti VZP obdrželi podvodné SMS zprávy vyzývající k finanční transakci týkající se zdravotního pojištění. Obsahem SMS byl i odkaz na falešnou webovou adresu, kde se má údajná transakce provést – pokud uživatelé na odkaz klikli, dostali se na podvodný web zdařile imitující vzhled pravých webových stránek VZP. Podvodníci následně požadovali přihlášení prostřednictvím bankovní identity. V současné době jsou rozesílané podvodné SMS zprávy, které nabádají k podání žádosti o peníze z fondu prevence. Cílem těchto podvodných zpráv je získat od lidí čísla bankovních účtů a přístupová hesla.

Všeobecná zdravotní pojišťovna vyzývá své klienty, aby si v případě nejasností ověřili pravost informace obdržené od VZP na infolince pojišťovny.

Označení prvních strážců přístupu dle nařízení o digitálních trzích

Nařízení o digitálních trzích (Digital Markets Act, DMA), které cílí na regulaci trhů a chování platforem na nich, významně omezuje možnosti velkých digitálních firem označených za „strážce přístupu“ nakládat s daty, včetně osobních údajů jejich uživatelů. Digitální giganti jsou totiž velmi často zvýhodněni v hospodářské soutěži díky přístupu k velkému množství údajů.

Evropská komise v září 2023 označila prvních šest strážců přístupu („gatekeepers“) podle nařízení o digitálních trzích, a to společnosti Alphabet, Amazon, Apple, ByteDance, Meta a Microsoft. Tyto společnosti mají šest měsíců na to, aby pro každou ze svých určených hlavních služeb platforem zajistili plný soulad s povinnostmi a zákazy uvedenými v nařízení o digitálních trzích. V uvedené lhůtě musí Evropské komisi předložit podrobnou zprávu o dodržování nařízení, v níž uvedou způsob plnění jednotlivých povinností z něj vyplývající.

Poskytovatel hlavních služeb platforem může být dle nařízení o digitálních trzích označen za strážce přístupu, pokud:

  • má významný dopad na vnitřní trh;
  • poskytuje hlavní službu platformy, která je klíčovou bránou pro podnikatelské uživatele k oslovení koncových uživatelů;
  • má ve své činnosti zavedené a trvalé postavení nebo lze předpokládat, že takové postavení v blízké budoucnosti získá.

Pokud Evropská komise zjistí, že strážce přístupu úmyslně nebo z nedbalosti nedodržuje kteroukoliv z povinností podle čl. 5 a 6 nařízení o digitálních trzích, tak mu může uložit pokutu až do výše 10 % jeho celkového obratu za předchozí účetní období.

Pokuta pro sociální síť TikTok za zpracování osobních údajů dětí

Na začátku září 2023 irský dozorový úřad (Data Protection Commission) uložil společnosti TikTok Technology Limited pokutu ve výši 345 mil. EUR (cca 8,5 miliardy Kč) za protiprávní zpracování osobních údajů dětských uživatelů sociální sítě TikTok.

Pokuta byla společnosti TikTok Technology Limited udělena na základě několika zásadních porušení Nařízení GDPR:

  • profily dětských uživatelů sociální sítě TikTok byly defaultně nastaveny jako veřejné, tedy jako přístupné všem ostatním uživatelům sociální sítě (porušení čl. 25 odst. 1 a 2, čl. 5 odst. 1 písm. c) a čl. 24 Nařízení GDPR);
  • dětský profil si do takzvané rodinné skupiny mohl přidat prakticky kterýkoliv dospělý uživatel bez ověření vztahu k dětskému uživateli (porušení čl. 5 odst. 1 písm. f) a čl. 25 odst. 1 Nařízení GDPR);
  • informace pro dětské uživatele o podmínkách aplikace TikTok a zpracování jejich osobních údajů byly ne­dostatečné (porušení čl. 12 odst. 1 a 13 odst. 1 písm. e) Nařízení GDPR);
  • používání manipulativní techniky (tzv. dark patterns), aby dětské uživatele dovedla k volbě variant s větším zásahem do jejich soukromí (porušení čl. 5 odst. 1 písm. a) Nařízení GDPR).

Irský dozorový úřad kromě udělené pokuty uložil společnosti TikTok Technology Limited i povinnost, aby se přizpůsobila požadavkům Nařízení GDPR tím, že odstraní popsané nezákonné praktiky.

Dvojnásobný nárůst kybernetických incidentů

Národní úřad pro kybernetickou a informační bezpečnost eviduje za poslední dva měsíce nárůst kybernetických incidentů. Poslední dobou převažují incidenty spadající do kategorie omezení dostupnosti služeb, převážná část z nich byla způsobena DDoS útoky (Distributed Denial of Service).

Za výrazným nárůstem kybernetických incidentů stojí zejména ruská hacktivistická skupina NoName057(16), která útočila na stránky českého bankovního sektoru. Skupina NoName057(16) je aktivní již od března loňského roku, bezpečnostní experti dávají její vznik do souvislosti s válkou na Ukrajině. Proruští hackeři totiž vedou útoky typu DDoS proti zemím, které Ukrajinu podporují.

Problematika uvádění rodných čísel v občanských průkazech

V České republice se rodná čísla používají jako jeden z běžných způsobů identifikace fyzických osob. Problematiku rodných čísel upravuje zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel).

Úprava zapisování rodného čísla do občanského průkazu je obsažena v zákoně č. 269/2021 Sb., o občanských průkazech, ve znění zákona č. 471/2022 Sb., a to v jeho přechodných ustanoveních, konkrétně v § 72 odst. 10. Na základě tohoto ustanovení je rodné číslo uváděno v občanském průkazu v podobě bezprostředně čitelné nebo vnímatelné člověkem a rovněž ve strojově čitelné podobě v nosiči dat, a to po časově omezenou dobu.

Plán na zrušení uvedení rodného čísla v občanském průkaze existuje cca 13 let. Podle původního záměru z roku 2010 mělo rodné číslo v občanském průkazu skončit v roce 2019, ale Ministerstvo vnitra zjistilo, že na tuto velkou změnu nejsou úřady připravené. Další termín pro ukončení zápisu rodných čísel do občanských průkazů, který byl stanoven na 31. prosinec 2023, byl zákonem č. 471/2022 Sb., kterým se mění zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů, ve znění pozdějších předpisů, a další související zákony, prodloužen do 31. prosince 2024.

Plánovaný výmaz rodného čísla z občanského průkazu nikdy neznamenal zrušení rodných čísel jako takových. Má se jednat o postupný útlum jejich užívání ve veřejné i soukromé sféře s tím, že v systémech veřejné správy rodné číslo nahradí bezvýznamové identifikátory.

Aktuálně je problematika zapisování rodného čísla do občanského průkazu intenzivně diskutována a řešena, a to v rámci chystané novelizace zákona č. 269/2021 Sb., o občanských průkazech. V rámci novelizace tohoto zákona již proběhlo mezirezortní připomínkové řízení a projednání vládou (podrobnosti jsou uvedeny na Portálu informačního systému ODok Úřadu vlády České republiky).

Vazba směrnice NIS2 a Nařízení GDPR

Kybernetická bezpečnost úzce souvisí s ochranou osobních údajů, a proto také směrnice NIS2 a Nařízení GDPR se musí navzájem doplňovat.

Za směrnici NIS2, která bude v ČR implementovaná v rámci transpoziční lhůty nejpozději do poloviny října 2024, je zodpovědný Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), za dozor GDPR je zodpovědný Úřad pro ochranu osobních údajů (ÚOOÚ). V praxi je tedy nezbytná úzká spolupráce NÚKIB a ÚOOÚ, tyto dva úřady si musí mezi sebou vyměňovat nezbytné informace a nezatěžovat regulované subjekty nad rámec nezbytného, a to např. i v případě pochybení, kdy by subjekty neměly být sankcionovány dvakrát za porušení téže povinnosti, pokud na ni dopadá jak NIS2, tak GDPR.

Směrnice NIS2 je pokračováním a rozšířením existující směrnice Evropské unie o kybernetické bezpečnosti z roku 2016 nazvané NIS (Network and Information Security), která definuje seznam opatření k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů zajišťujících důležité služby napříč členskými státy Evropské unie.

Směrnice NIS2 bude do českého právního rámce implementována prostřednictvím novelizace zákona č. 181/2014 Sb., o kybernetické bezpečnosti (nyní probíhá finalizace úprav návrhu zákona na základě obdržených připomínek z mezirezortního připomínkového řízení).

Předpoklad bezpečnostních standardů digitálního eura

Evropský sbor pro ochranu osobních údajů (EDPB) a Evropský inspektor pro ochranu osobních údajů (EDPS) vydali společné stanovisko, ve kterém podporují návrh na zavedení digitální měny Evropské centrální banky. Cílem digitálního eura by mělo být poskytnutí možnosti provádět platby elektronicky, on-line i off-line, jako dalšího způsobu provádění plateb při zachování hotovostních transakcí.

Budoucí digitální měna euro musí být z hlediska zajištění ochrany dat a soukromí chráněna nejvyššími bezpečnostními standardy. V navrhovaném zajištění bezpečnostních standardů patří podle EDPS k nejzásadnějším závazek zajistit vysokou úroveň ochrany osobních údajů při používání digitálního eura on-line a ještě vyšší úroveň ochrany při jeho používání off-line.

Používání ChatGPT z pohledu ochrany osobních údajů

Jazykový model ChatGPT (Generative Pretrained Transformer), který funguje jako klasický chat umožňující komunikaci s umělou inteligencí, byl spuštěn v listopadu 2022 společností OpenAI.

ChatGPT pracuje na základě rozsáhlých úložišť informací (datasetů), jejichž obsah ve většině případech tvoří data vkládaná samotnými uživateli. Z vložených údajů pak jazykový model čerpá při tvorbě odpovědí, tj. ChatGPT vložené informace uloží do své paměti a čerpá z nich při zpracování daného zadání. Tím ale vzniká riziko, že zmíněná data mohou být dostupná i jiným uživatelům, kteří zadávají jazykovému modelu nové dotazy. ChatGPT nedokáže bohužel rozeznat, které údaje jsou osobní a které nikoliv, a tudíž hrozí příp. únik osobních dat.

S ohledem na vznikající kritiku ohledně příp. úniku osobních údajů společnost OpenAI v polovině roku 2023 zveřejnila zaktualizované zásady ochrany osobních údajů, které nyní obsahují i výčet informací shromažďovaných jazykovým chatovacím modelem – ChatGPT shromažďuje např. osobní údaje, které jsou součástí vstupu, nahraných souborů nebo zpětné vazby od uživatele (obsah komunikace), časové pásmo, země usazení uživatele, datum a čas přístupů ke službě, verze a typ počítače nebo mobilního zařízení uživatele a připojení k počítači, jakož i název zařízení, operační systém, identifikátory zařízení a konkrétní prohlížeč, který uživatel používá. ChatGPT také shromažďuje údaje o navštívených stránkách pomocí souborů cookies (na tuto skutečnost však není uživatel upozorněn standardně vyskakujícím oknem při prvním navštívení stránky) a mnohé další. Tyto informace mohou být navíc bez vědomí uživatele poskytnuty prodejcům a poskytovatelům různých služeb či přidruženým společnostem OpenAI. Dle zveřejněných zásad ochrany osobních údajů patří mezi zmíněné právní základy pro zpracování těchto údajů mimo jiné i souhlas uživatele – bohužel v současné době nejsou uživatelé před či během používání ChatGPT explicitně požádáni o aktivní souhlas se sběrem a zpracováním osobních údajů. Přitom již před prvním využíváním ChatGPT je nutná registrace, při níž dochází ke sběru osobních údajů typu jméno, příjmení, datum narození, telefon, e-mail.

Únik citlivých dat prostřednictvím ChatGPT řešila již např. společnost Samsung, jejíž zaměstnanci využívali ChatGPT k přepisu poznámek z interních jednání a ke kontrole zdrojových kódů za účelem nalezení chyb. Při práci s ChatGPT vložili do paměti chatbota velmi citlivé údaje a vystavili tím společnost potenciálnímu úniku dat.

Eliminace rizika úniku osobních údajů při práci s chatovacím modelem

Při používání služby chatovacích modelů je nezbytné dbát zejména na následující základní doporučení eliminující příp. rizika úniku osobních údajů:

  • Do chatovacího modelu nikdy nevkládat v rámci jednotlivých dotazů osobní údaje jako je např. jméno, příjmení, poznámky z obchodního jednání vázané mlčenlivostí, citlivé zdrojové kódy atd. Jakákoliv data vložená do chatovacího modelu mohou být předmětem úniku dat přes veřejně poskytované služby chatbota.
  • Proškolit zaměstnance organizace o správném způsobu užívání chatovacího modelu vč. vysvětlení potenciálních rizik a hrozeb využívání chatbotů.
  • Při práci s chatovacím modelem využívat anonymní okno prohlížeče.
  • Minimalizovat množství dat, která jsou o uživateli shromažďována během používání služby chatbot.
  • V rámci organizace pořídit vlastní umělou inteligenci pro interní využití a zabezpečení potřeb zaměstnanců, prostřednictvím které bude zamezeno riziko nežádoucího úniku citlivých dat.
  • V případě úniku citlivých dat prostřednictvím chatovacího modelu neprodleně oznámit tuto skutečnost orgánu pro ochranu osobních údajů. Požádat provozovatele konkrétní služby chatovacího modelu, aby osobní údaje nedopatřením vložené do paměti chatbota vymazal.

Zpracování osobních údajů z chytrých hodinek

Chytré hodinky současné generace nabízí nepřeberné možnosti jejich využití, např. sledování sportovní aktivity, data o funkci srdce, data o pulsu, spálené kalorie, měření spánku a další data, jejichž sledování může pomoci zjistit různá onemocnění daného uživatele.

Používání chytrých hodinek je pro uživatele přínosné, ale bohužel skrývá i riziko zpracování osobních údajů v rámci monitorovaných / sebraných dat. V nedávné době sdružení NOYB odhalilo, že společnost Fitbit vlastněná společností Google u vybraných typů chytrých hodinek a fitness náramků předává údaje z těchto chytrých zařízení do nespecifikovaných zemí mimo EU. Společnost Fitbit v rámci poskytovaných informací neuvádí seznam zemí, do kterých jsou osobní údaje předávány, a nespecifikuje ani konkrétní rizika, která uživatelům chytrých zařízení hrozí.

Pokud si uživatel chytrých hodinek chce v rámci aplikace Fitbit vytvořit účet – bez kterého nelze chytré zařízení plnohodnotně využívat – musí aplikaci udělit svůj souhlas s předáváním osobních údajů mimo EU. V případě aplikace společnosti Fitbit poskytnutí souhlasu nelze fakticky nijak obejít a uživatelé chtějící aplikaci využívat musí souhlas bezpodmínečně udělit. Takový souhlas však z povahy věci nemůže být udělen svobodně, neboť je jím podmíněné využití služeb.

Sdružení NOYB došlo k závěru, že předmětné zpracování je nezákonné a jménem tří uživatelů podalo celkem tři stížnosti, a to k rakouskému, nizozemskému a italskému dozorovému orgánu. Prostřednictvím těchto stížností se chce sdružení NOYB domoci toho, aby byl Fitbit přinucen sdělit veškeré informace dle čl. 13 Nařízení GDPR vč. podrobností o předávání osobních údajů mimo EU.

Zpracování fotografií zaměstnanců

Zpracování fotografií zaměstnanců lze provádět na základě tzv. oprávněného zájmu zaměstnavatele (např. vstupní karty) nebo souhlasu (např. fotografie z akcí).

  • Zaměstnanec musí být vždy o zpracování fotografie (i dalších osobních údajů) jasně informován, a to i v případě, kdy není vyžadován jeho souhlas.
  • Souhlas musí být svobodný a zaměstnancem kdykoliv odvolatelný.
  • Zaměstnavatel musí být připraven i na možnost, že souhlas od zaměstnance nedostane, a v takovém případě nemůže fotografií zaměstnance vůbec disponovat.
  • Udělení souhlasu nesmí být podmínkou účasti na akci / vznesení námitky nebo neudělení souhlasu nesmí být důvodem pro odepření možnosti akce se účastnit.
  • V případě dodatečného odvolání souhlasu musí zaměstnavatel fotografii vymazat ze všech svých evidencí.
  • Při zpracování fotografií je vždy nutné respektovat soukromí a důstojnost zaměstnance (např. fotografie z večírků apod).

a) Vstupní karty zaměstnanců

  • Fotografie zaměstnanců lze zpracovávat za účelem vydání vstupních karet na základě oprávněného zájmu bezpečnosti osob a majetku a souhlas zaměstnance s použitím fotografie za tímto účelem tak není potřebný.
  • Fotografii nelze umístit na vstupní kartu bez vědomí zaměstnance, proto musí být zaměstnanec předem informován (např. na formuláři žádosti o vstupní kartu).

b) Fotografie zaměstnanců na internetu a intranetu

  • Ke zveřejňování fotografií zaměstnanců je potřebný jejich souhlas (např. pro účely prezentace organizace).
  • U zaměstnanců, kteří představují vedení organizace, je zveřejnění fotografie oprávněným zájmem zaměstnavatele a souhlas není nutný. O zveřejnění fotografií však musejí být i tito zaměstnanci vždy předem informováni.
  • Souhlas zaměstnance se zpracováním jeho fotografie je nutné získat i pro použití fotografie zaměstnavatelem v interním informačním systému zaměstnavatele, kde fotografie slouží k lepšímu rozpoznání zaměstnanců a zjednodušení komunikace mezi zaměstnanci (např. MS Outlook, MS Teams, intranet). Nejvhodnější je tedy zaměstnance požádat, aby svou fotografii v interním systému uveřejnili sami, ale upozornit je, že se nejedná o povinnost.

c) Fotografie z konferencí nebo školení

  • Pořizování a zveřejňování fotografií z konferencí nebo školení má být podloženo souhlasem. Může se jednat o vznesení dotazu na zahájení akce s umožněním vznést námitku (tedy neptat se, kdo souhlasí, ale informovat, že fotografie budou pořizovány a zeptat se, kdo nesouhlasí) nebo umístit informaci např. na prezenční listinu. V případě, že někdo projeví nesouhlas, je nezbytné toto respektovat a jeho fotografie vůbec nepořizovat.
  • Udělení souhlasu nesmí být podmínkou účasti na akci.
  • V případech, kdy účastník z fotografie není jednoznačně identifikovatelný nebo jsou účastníci fotografováni zezadu (vpředu je přednášející) nebo se jedná o fotografování velkého davu lidí bez rozpoznání obličejů, nejedná se o zpracování osobních údajů – není nutné žádat o souhlas.

d) Firemní akce, teambuildingy

  • Pokud budou fotografie zaměstnanců zveřejňovány pouze interně v rámci organizace (na intranetu pro zdokumentování akce), lze tyto fotografie zpracovávat na základě oprávněného zájmu. Je nezbytné zaměstnance o pořizovaní fotografií / videa předem informovat (např. jako součást pozvánky / přihlášky) nebo vyvěsit ceduli v místě konání informaci (na místě kde ji každý uvidí). Oboje spolu s informací o právu podat námitku proti pořizování fotografií. Fotografie zaměstnanců musí být dostupné pouze interně v rámci organizace.
  • Při zveřejňování fotografií mimo organizaci, např. na internetu, sociálních sítích nebo propagačních materiálech pro marketingové účely, je písemný souhlas účastníků nezbytně nutný.
  • Při vznesení námitky nebo neudělení souhlasu toto nesmí být důvodem pro odepření možnosti akce se účastnit.
  • V případě, že někdo projeví nesouhlas, je nezbytné toto respektovat a jeho fotografie vůbec nepořizovat.

Provozování vnějšího kamerového systému se záznamem

Při provozování vnějšího kamerového systému je potřeba dodržet základní pravidla stanovená Úřadem pro ochranu osobních údajů:

  • Kamerový systém je možno použít zásadně v případě, kdy sledovaného účelu nelze účinně dosáhnout jinou cestou (např. lepším zabezpečením majetku).
  • Kamerové sledování nesmí nadměrně zasahovat do soukromí. Možnost nasazení monitorovacích kamer končí na hranicích pozemku správce.
  • Je vyloučeno užití kamerového systému v prostorách určených k ryze soukromým úkonům (např. toalety, sprchy). Je ovšem možné řešení, kdy subjekt údajů má na výběr z alternativ. Např. lze monitorovat prostory šatny (skříněk) plaveckého stadionu za předpokladu, že je vymezen prostor pro převlékání, který není kamerami sledován.
  • Je-li kamerový systém využíván na pracovišti, musí provoz kamer a využití záznamu být v souladu s pracovněprávními předpisy, zejména § 316 zákoníku práce.
  • Je třeba předem jednoznačně stanovit účel provozování kamerového systému, který musí korespondovat s důležitými, právem chráněnými zájmy správce (např. ochranou majetku před krádeží). Záznamy pak mohou být využity pouze v souvislosti se zjištěním události, která poškozuje tyto důležité, právem chráněné zájmy správce. Přípustnost využití záznamů pro jiný účel musí být omezena na významný veřejný zájem, např. boj proti pouliční kriminalitě.
  • Je třeba stanovit lhůtu pro uchovávání záznamů. Doba uchovávání dat by neměla přesáhnout časový limit maximálně přípustný pro naplnění účelu provozování kamerového systému. Uchovávaná data by měla být uchovávána v rámci časové smyčky např. 24 hodin, pokud jde o trvale střežený objekt, nebo případně i dobu delší, v zásadě však nepřesahující několik dnů, a po uplynutí této doby vymazána. Pouze v případě existujícího bezpečnostního incidentu by měla být data zpřístupněna orgánům činným v trestním řízení, soudu nebo jinému oprávněnému subjektu.
  • Je třeba řádně zajistit ochranu snímacích zařízení, přenosových cest a datových nosičů, na nichž jsou uloženy záznamy, před neoprávněným nebo nahodilým přístupem, změnou, zničením či ztrátou nebo jiným neoprávněným zpracováním. Interní postupy a pravidla pro provoz kamerového systému a nakládání se záznamy je vhodné upravit např. v provozním řádu objektu či bezpečnostní směrnici. Správce je povinen dokumentovat veškeré případy porušení zabezpečení osobních údajů a řešit bezpečnostní incidenty.
  • Při provozování kamerového systému musí správce splnit informační povinnost – před vstupem do sledovaného prostoru musí být viditelně umístěna informační (varovná) tabule, na které je čitelně uvedený účel sledování, totožnost a kontakt na správce, poučení o právech subjektů údajů, informace o podstatných dopadech monitorování a informace o možnosti získat další a podrobnější informace (např. formou dostupného letáku, dobře viditelného plakátu nebo digitální cestou).
  • V případě zpřístupnění kamerového záznamu třetí straně se vždy jedná o nové zpracování osobních údajů, pro které je nezbytné mít zákonný důvod. Poskytnutí záznamu donucovacím orgánům představuje samostatné zpracování vyžadující odůvodnění ze strany správce.

Jsme připraveni Vám zpracovat nezbytnou dokumentaci provozu kamerového systému, především:

  • Záznam o činnostech zpracování dle článku 30 Nařízení GDPR
  • Vzor zpracovatelské smlouvy – pokud k záznamům z kamerových systémů má přístup dodavatel / provozovatel, nebo jsou data ukládána na externí úložiště
  • Vzor informační cedule umístěné před / do monitorovaných prostor společně s obvyklou piktogramovou cedulkou
  • Vzor vnitřního předpisu, kterým o pořizování záznamů informujete zaměstnance
  • Vzor sdělení zákonným zástupcům

Pokyny EDPB pro výpočet správních pokut v oblasti GDPR

Evropský sbor pro ochranu osobních údajů (EDPB) zveřejnil pokyny pro výpočet správních pokut. V souladu s Nařízením GDPR musejí být sankce účinné, přiměřené a odrazující, tedy jejich stanovení je vždy úzce svázané s konkrétními okolnostmi:

  • povaha, závažnost a délka trvání porušení GDPR;
  • k porušení došlo úmyslně, nebo z nedbalosti;
  • kroky, které správce či zpracovatel podnikl ke zmírnění způsobených škod;
  • zavedená technická, organizační a fyzická opatření;
  • předchozí porušení GDPR;
  • míra spolupráce s dozorovým úřadem.

Pokutu až do výše 10 mil. EUR, případně 2 % ročního obratu subjektu (podle toho, která z těchto hodnot je vyšší), lze uložit za porušení ustanovení týkajících se:

  • záznamů o činnostech zpracování,
  • posouzení vlivu na ochranu osobních údajů,
  • zabezpečení zpracování,
  • ohlašování případů porušení zabezpečení či
  • jmenování Pověřence pro ochranu osobních údajů.

Pokutu až do výše 20 mil. EUR, případně 4 % ročního obratu subjektu (podle toho, která z těchto hodnot je vyšší), lze uložit za porušení ustanovení týkajících se:

  • základních zásad zpracování osobních údajů,
  • práv subjektů údajů,
  • pravidel pro předávání údajů do třetích zemí,
  • nesplnění příkazu dozorového úřadu.

Výjimku z možnosti uložení správní pokuty představují orgány veřejné moci a veřejné subjekty, které jsou vyloučeny z udílení pokut zákonem o zpracování osobních údajů. Nic ovšem nebrání tomu, aby Úřad pro ochranu osobních údajů těmto subjektům uložil jinou sankci či povinnost.

Pokyny rozdělují výši pokuty podle stupně závažnosti porušení GDPR („základní sazba“):

  • nízký stupeň závažnosti: 0 – 10 % zákonného maxima,
  • střední stupeň závažnosti: 10 – 20 % zákonného maxima,
  • vysoký stupeň závažnosti: 20 – 100 % zákonného maxima.

Při výpočtu pokuty je dále zohledněna výše obratu subjektu, dle které může být vypočtená základní sazba ještě ponížena:

  • Obrat max. 2 mil. EUR …………….……..možné snížení základní sazby až na 0,2 %
  • Obrat max. 2 – 10 mil. EUR ………..…možné snížení základní sazby až na 0,4 %
  • Obrat max. 10 – 50 mil. EUR …………možné snížení základní sazby až na 2 %
  • Obrat max. 50 – 100 mil. EUR ……….možné snížení základní sazby až na 10 %
  • Obrat max. 100 – 250 mil. EUR ……..možné snížení základní sazby až na 20 %
  • Obrat max. 250 mil. EUR a více …….možné snížení základní sazby až na 50 %

Výpočet dále zohledňuje:

  • polehčující okolnosti – realizované kroky ke zmírnění škod, oznámení incidentu dozorovému orgánu porušení, zavedená dostatečná technická a organizační opatření;
  • přitěžující okolnosti – předchozí porušení GDPR, zjevný úmysl nařízení porušit, nedostatečná spolupráce s dozorovým úřadem.

Nahlížení subjektu údajů do osobních údajů

Právo subjektu údajů na přístup k informacím, kdy a z jakého důvodu bylo nahlíženo do jeho osobních údajů, upřesnil rozsudek Soudního dvora EU z 22. června 2023 ve věci C-579/21.

Dle vydaného rozsudku Soudního dvora EU má každý subjekt údajů právo znát datum a důvody nahlížení do svých osobních údajů. Bez existence tohoto práva by subjekt údajů totiž nebyl schopen posoudit zákonnost zpracování svých osobních údajů a případně následně uplatnit svá další práva podle Nařízení GDPR:

„Z bodu 63 odůvodnění GDPR vyplývá, že cílem práva osoby na přístup k vlastním osobním údajům a k dalším informacím uvedeným v čl. 15 odst. 1 GDPR je především umožnit tomuto subjektu údajů, aby se seznámil se zpracováním svých osobních údajů a aby si ověřil zákonnost tohoto zpracování. Právo na přístup je nezbytné k tomu, aby subjekt údajů mohl případně vykonat právo na opravu, právo na výmaz („právo být zapomenut“) a právo na omezení zpracování osobních údajů, které mu přiznávají čl. 16 až 18 GDPR, právo na námitku proti zpracování svých osobních údajů stanovené v čl. 21 GDPR, jakož i právo na soudní ochranu pro případ utrpěné škody, zakotvené v čl. 79 a 82 GDPR. Bez transparentnosti, kterou čl. 15 GDPR zajišťuje, by však subjekt údajů nebyl schopen posoudit zákonnost zpracování svých osobních údajů a případně následně uplatnit svá další práva podle GDPR.“

Pokud tedy subjekt údajů požádá správce či zpracovatele osobních údajů o přístup k jeho osobním údajům, má nárok na přesnou kopii či opis zpraco­vávaných osobních údajů.

Vnitřní oznamovací systém a ochrana osobních údajů

Zákon č. 171/2023 Sb., o ochraně oznamovatelů ukládá povinnost zavést účinný vnitřní oznamovací systém. S tím samozřejmě souvisí i zajištění ochrany osobních údajů při přijímání, posuzování a evidenci oznámení, především pro zachování důvěrnosti identifikace oznamovatele.

Poskytnutí informací o totožnosti oznamovatele bez jeho souhlasu je přestupkem, za který hrozí příslušné osobě pokuta ve výši až 100 tis. Kč a v případě, že bude oznamovatel vystaven v důsledku zveřejnění totožnosti odvetným opatřením, hrozí povinnému subjektu pokuta až 1 mil. Kč.

Oznamovatel při podávání oznámení sděluje minimálně jméno, příjmení, datum narození a/nebo jiný údaj, z něhož je možné dovodit identitu oznamovatele. S ohledem na zásadu minimalizace údajů nesmí být oznamovatel nucen sdělovat osobní údaje, které nejsou nezbytné pro dosažení účelu zpracování, tedy k ověření důvodnosti podaného oznámení. Stejně tak sdělené osobní údaje není možné využívat za jiným účelem, než je podání oznámení a jeho následné posouzení a další zpracování. Lhůta pro zpracování a uložení osobních údajů je stanovena na 5 let ode dne jeho přijetí.

Všechna opatření na ochranu oznamovatelů je samozřejmě nutné uplatnit i na ochranu osobních údajů dalších osob, které oznamovatel uvedl v oznámení (např. údajný pachatel, poškozená osoba či svědek).

Práva subjektů údajů (oznamovatelů a dotčených osob) však jsou omezena, a to v takových případech, kdy by jejich naplnění mohlo znamenat narušení vyšetřování oznámeného protiprávního jednání a potažmo odhalení totožnosti oznamovatele.

Při využití SW řešení pro podporu vnitřního oznamovacího systému je nutné také ošetřit případnou roli zpracovatele osobních údajů uzavřením zpracovatelské smlouvy a ošetřit uložení dat v rámci EU (případně ošetřit jejich uložení mimo EU), šifrování dat při přenosu a pseudonymizace.

Řešení stížností na nevyžádaná obchodní sdělení obdržená datovou schránkou

Na základě zvýšeného počtu obdržených stížností vztahujících se k zasílání nevyžádaných obchodních sdělení prostřednictvím datových schránek Úřad pro ochranu osobních údajů vydal na svých webových stránkách informaci, že není věcně příslušnou institucí pro stížnosti na nevyžádaná obchodní sdělení zasílaná prostřednictvím datové schránky.

Informační systém datových schránek (ISDS) je zřízen a provozován na základě zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů. Přestupkem podle tohoto zákona je mimo jiné i užití datové schránky k šíření nevyžádaných obchodních či jiných obtěžujících sdělení.

Správcem ISDS je od 1. dubna 2023 Digitální a informační agentura (https://dia.gov.cz), proto podezření na spáchání tohoto typu přestupku projednává Digitální a informační agentura, ne Úřad pro ochranu osobních údajů.

Skenování obličejů Policií ČR

Od srpna minulého roku využívá Policie ČR informační systém Digitálních podob osob, který umí díky umělé inteligenci rozpoznávat tváře z fotografií a videozáznamů. Systém není v současné době napojen na žádný kamerový systém a data jsou vyhodnocena zpětně. Policie ČR je tedy schopna zpětně porovnat fotografii konkrétního člověka vůči snímkům např. z evidence občanských průkazů. Při využití tohoto systému se Policie ČR odkazuje na § 66a zákona o Policii České republiky, ale dle vyjádření některých právníků nemá Policie ČR dostatečnou oporu v zákoně, v zákoně chybí např. pravidla o zabezpečení dat proti zneužití.

Systém rozpoznávání tváří může mít různé užití a různou intenzitu zásahu do osobnostních práv. Možným rizikem této nové technologie na rozpoznání obličeje je i velká chybovost, tj. může dojít k přiřazení obličeje k špatně identifikované osobě.

Problematiku využití informačního systému pro účely skenování obličejů již řeší i Úřad pro ochranu osobních údajů, který si od Policie ČR vyžádal vysvětlení a technické podklady k systému Digitálních podob osob. Při ročním testovacím režimu tohoto systému Policie ČR nepožádala ÚOOÚ o žádnou konzultaci.

Dle vyjádření Policie ČR se prostřednictvím informačního systému Digitálních podob osob podařilo odhalit několik závažných trestných činů.

Retargeting z pohledu zpracování osobních údajů

V současné době je ve velké míře v online marketingu využíván tzv. retargeting (znovuzacílení). Jedná se o formu online cílené reklamy, při které je reklama cílena na spotřebitele na základě jeho předchozích akcí na internetu, např. prohlížení webových stránek inzerentů, vyplnění poptávkového formuláře apod.

Online uživatel je označen retargetingem vložením dat do cílové webové stránky nebo e-mailu, která nastaví cookies v prohlížeči daného uživatele. Jakmile je marketingový cookies soubor nastaven, může inzerent zobrazovat tomuto uživateli grafické reklamy odkudkoli z internetu prostřednictvím systému výměny reklam.

Z pohledu GDPR mohou marketingové cookies obsahovat osobní údaje. Marketingové cookies jsou totiž ve většině případech spojeny s identifikátorem a je tedy možné přiměřenými prostředky znovu identifikovat osoby, kterých se osobní údaje týkají. Je tedy nezbytné, aby provozovatelé webových stránek získali souhlas uživatele s ukládáním marketingových „netechnických“ cookies prostřednictvím cookies lišty. Udělený souhlas s ukládáním cookies musí být kdykoliv odvolatelný.

Sankce za porušení GDPR v oblasti cookies

Za porušení Nařízení GDPR v souvislosti se zpracováním osobních údajů prostřednictvím cookies souborů udělil v letošním roce Úřad pro ochranu osobních údajů různým provozovatelům webových stránek pokuty již ve výši téměř 4,5 mil. Kč, přičemž právní moci nabyly pokuty ve výši 1,64 mil. Kč.

ÚOOÚ se v oblasti cookies zaměřuje nejen na kontroly soukromých společností, ale také na orgány veřejné moci a veřejné subjekty (ministerstva a kraje). Vzhledem k tomu, že orgánům veřejné moci a veřejným subjektům nemůže ÚOOÚ ukládat pokuty, ukládá těmto subjektům rozhodnutí o provedení nápravných opatření.

Nejvyšší pravomocně uloženou pokutu ve výši 898 tis. Kč udělil ÚOOÚ společnosti podnikající v oboru elektronických komunikacích za nahrávání cookies, jejichž prostřednictvím docházelo ke zpracování osobních údajů k marketingovým účelům, do koncových zařízení návštěvníků, bez jejich souhlasu.

ÚOOÚ identifikoval v rámci provedených kontrol následující stěžejní porušení Nařízení GDPR v oblasti cookies:

  • nedostatky souhlasu se zpracováním osobních údajů;
  • nedostatečné plnění informační povinnosti, např. nedostatečná klasifikace jednotlivých cookies, informace dostupné pouze v angličtině;
  • nahrávání souborů cookies do zařízení návštěvníků, a to bez jejich souhlasu;
  • nemožnost či výrazné zkomplikování možnosti odvolat souhlas se zpracováním osobních údajů prostřednictvím cookies souborů;
  • umístění možnosti volby pro „souhlas“ a „nesouhlas“ se zpravováním osobních údajů prostřednictvím souborů cookies do různých vrstev v rámci cookies lišt, kterým je návštěvník cíleně ovlivňován, aby souhlas udělil;
  • cookies lišta na individuální nastavení zpracování osobních údajů prostřednictvím souborů cookies buď nereaguje nebo reaguje nedostatečně.

Zásady zpracování osobních údajů v rámci whistleblowingu

Zákon č. 171/2023 Sb., o ochraně oznamovatelů je účinný od 1. srpna 2023. V souvislosti s novými pravidly whistleblowingu (ochrany oznamovatelů) je nezbytné dodržovat základní zásady zpracování osobních údajů, tj. zejména:

  • osobní údaje oznamovatele lze shromažďovat pouze za legitimním účelem (zejména k prošetření oznámení) a zároveň pouze v nezbytném rozsahu;
  • osobní údaje oznamovatele nesmí být zavádějící, totožnost oznamovatele by měla být v případě pochybností ověřitelná;
  • od oznamovatele nelze vyžadovat žádné osobní údaje nad rámec naprosto nezbytných údajů pro účely oznámení;
  • oznamovatel má právo na přístup ke svým osobním údajům a může případně žádat jejich opravu vč. úprav obsahu oznámení;
  • osobní údaje oznamovatele musí být uloženy pouze po nezbytně nutnou dobu k prošetření oznámení, příp. dále po dobu nutnou pro související následné kroky, pokud se oznámení ukáže jako opodstatněné;
  • správce osobních údajů, který je příjemce oznámení, musí oznamovatele transparentně informovat o skutečnostech týkajících se zpracování jeho osobních údajů;
  • povinností správce osobních údajů je přijmout opatření zajišťující anonymitu oznamovatele vůči všem dalším osobám;
  • pokud se v předloženém oznámení objeví osobní údaje třetí strany, musí být respektována účelnost a přesnost zpracovávaných osobních údajů za současného ohledu na ostatní zmíněné zásady;
  • osobní údaje musí být uloženy bezpečně, přístup k nim mají pouze oprávněné osoby;
  • po naplnění účelu zpracování by měl příjemce a správce osobní údaje smazat.

V rámci řešení problematiky ochrany oznamovatelů je doporučeno využívat oznamovací systém, který umožňuje zpracovávat data na jednom místě a v případě potřeby je snadno anonymizovat či smazat.

Třetí cloudová vyhláška vydaná NÚKIB

K 1. červenci 2023 vstoupila v účinnost třetí z tzv. cloudových vyhlášek vydaných Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) – vyhláška č. 190/2023 Sb., o bezpečnostních pravidlech pro orgány veřejné moci využívající služby poskytovatelů cloud computingu.

Vyhláška č. 190/2023 Sb. zavádí požadavky, jejichž plnění musí orgán veřejné moci, resp. orgán veřejné správy zajistit, jestliže chce k zajištění provozu svého informačního či komunikačního systému, resp. informačního systému veřejné správy využívat služeb cloud computingu.

Tato třetí cloudová vyhláška doplňuje vyhlášky č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci a č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu, které vstoupily v účinnost již 1. září 2021. Regulace využívání cloud computingu podle zákona o kybernetické bezpečnosti a podle zákona o informačních systémech veřejné správy je tedy již kompletní.

Využívání cloudových služeb pro videokonference

Orgány, instituce a jiné subjekty Evropské unie využívající při své práci nástroje pro videokonference musí dodržovat základní práva jednotlivců a pravidla ochrany údajů, a to i s ohledem na možnost předávání osobních údajů prostřednictvím nástrojů videokonference do zemí mimo Evropskou unii a Evropský hospodářský prostor.

V první polovině července 2023 Úřad evropského inspektora pro ochranu osobních údajů (EDPS) vydal rozhodnutí, které potvrzuje, že využívání cloudových služeb pro videokonference společnosti Cisco Webex Soudním dvorem Evropské unie splňuje normy ochrany údajů podle nařízení 2018/1725 platné pro orgány, instituce a jiné subjekty EU, tj. je v souladu s právními předpisy o ochraně osobních údajů.

Problematika předávání dat do USA

Evropská komise přijala Prováděcí rozhodnutí ze dne 10. července 2023 podle Nařízení Evropského parlamentu a Rady (EU) 2016/679 o odpovídající úrovni ochrany osobních údajů poskytované Rámcem ochrany soukromí mezi EU a USA.

Rámec ochrany soukromí (Data Privacy Framework – DPF) představuje samocertifikační systém spravovaný americkým Ministerstvem obchodu a dozorovaný americkou Federální obchodní komisí a Ministerstvem dopravy. Americké soukromé společnosti, které se jako dovozci osobních údajů z EU, resp. EHP, přihlásí do programu Rámce ochrany soukromí, se zavazují dodržovat zásady programu, které jsou přílohou výše uvedeného rozhodnutí Evropské komise.

Evropská komise došla k závěru, že účast dovozce osobních údajů v programu Rámce ochrany soukromí zajišťuje odpovídající úroveň ochrany osobních údajů podle čl. 45 Nařízení GDPR. Předání osobních údajů do USA společnostem zapsaným v programu Rámce ochrany soukromí je tedy možné realizovat za stejných podmínek jako jakékoliv jiné předání osobních údajů v rámci EU, resp. EHP (tj. předávání osobních údajů již nemusí být doprovázeno žádnými doplňujícími opatřeními).

Upozornění na zvýšené riziko ransomwarových útoků

Národní úřad pro kybernetickou a informační bezpečnost upozorňuje na zvýšené riziko ransomwarových útoků vůči České republice.

NÚKIB v posledních týdnech eviduje v českém kyberprostoru zvýšenou aktivitu kyberzločineckých skupin, které při svých útocích využívají tuto techniku. Jedním z častých způsobů útoku, jehož prostřednictvím získávají útočníci přístup do sítí obětí, je zneužívání zranitelností. Úspěšný průnik do systémů může mít za následek krádež dat ze systémů, jejich zašifrování a následné vydírání jak za účelem dešifrování dat, tak jejich zveřejněním ze strany útočníka.

Podrobnosti k vydanému upozornění na zvýšené riziko ransomwarových útoků jsou uvedeny na webových stránkách NÚKIB https://nukib.cz/cs/infoservis/hrozby/1972-upozornujeme-na-zvysene-riziko-ransomwarovych-utoku/.

Nejčastější pochybení při zpracování osobních údajů

Úřad pro ochranu osobních údajů průběžně kontroluje (na základě každoročního kontrolního plánu, z podnětu jiného orgánu nebo na základě stížnosti nespokojeného zákazníka / konkurence) dodržování pravidel nakládání s osobními údaji. V rámci své činnosti se ÚOOÚ zpravidla zaměřuje na základní povinnosti, které jsou pro ochranu osobních údajů nezbytné, a ve kterých se stále nejvíce chybuje. Jedná se zejména o:

  • zpracování osobních údajů s řádným právním titulem (oprávnění vymezené v Nařízení GDPR);
  • účelové omezení a dobu uchovávání – užívání osobních údajů k účelům, za kterými byly získány nebo ke slučitelným účelům, a po dobu potřebnou k naplnění těchto účelů;
  • informační povinnost – řádné informování lidí o tom, jak se s jejich osobními údaji nakládá;
  • výkon práv – umožnění lidem vykonat jejich práva (např. nechat údaje vymazat);
  • zpracovatelskou smlouvu – uzavření zpracovatelské smlouvy se všemi náležitostmi stanovenými Nařízením GDPR;
  • zabezpečení osobních údajů – přijetí organizačních a technických opatření k zabezpečení osobních údajů;
  • řádné zapojení Pověřence pro ochranu osobních údajů do kontroly nakládání s osobními údaji.

Součástí zpracovávání osobních údajů v souladu s Nařízením GDPR je i zpracování a vedení správné dokumentace. Pokud správce osobních údajů chce správně pracovat s osobními údaji, musí vědět „CO“ a „PROČ“ bude zpracovávat (jaký osobní údaj a k jakému účelu) a co ho ke zpracování osobního údaje opravňuje (právní důvod).

Nejčastější chyby v dokumentaci bývají důsledkem špatného pochopení Nařízení GDPR, a/nebo snahy nahradit vše „papírem / souhlasem“. Dle závěrů kontrol provedených ÚOOÚ je souhlas mnohdy vyžadován nadbytečně – tedy v souběhu s jinými důvody pro zpracování osobních údajů.

Větší ochrana soukromí uživatelů datových schránek

Vláda ČR podpořila poslanecký návrh pirátského vicepremiéra pro digitalizaci Ivana Bartoše, aby se proces zveřejnění datových schránek fyzických osob v adresáři datových schránek vč. adresy trvalého bydliště změnil na princip tzv. OPT-IN. Uživatel – fyzická osoba bez rozdílu, zda se jedná o nepodnikatele či živnostníka – bude muset se zveřejněním výslovně souhlasit, jinak se v seznamu neobjeví.

Ochrana soukromí uživatelů datových schránek se bude týkat nejen vyhledávacího seznamu na webu cz, kde po zadání údajů systém vrátí odpovídající výsledky ze své databáze, ale také opendatového formátu uživatelů, z kterého bylo možné získat všechny údaje z dané kategorie datových schránek na jedno kliknutí.

Poslanecký návrh s vydaným souhlasným stanoviskem vlády nyní míří do Poslanecké sněmovny. Hlasování se očekává začátkem léta, účinnost by v případě schválení připadla na září nebo říjen. Dále je uvažován tříměsíční odklad nezbytný z důvodu technických úprav informačního systému Datových schránek.

Podmínky náhrady nehmotné újmy při poškození subjektu údajů porušením GDPR

Dle rozsudku Soudního dvora EU vydaného ve věci C-300/21 ze dne 4. května 2023 pouhé porušení Nařízení GDPR nezakládá automaticky nárok na náhradu nehmotné újmy. Právo na náhradu újmy stanovené v Nařízení GDPR je jednoznačně vázáno na splnění tří kumulativních podmínek, a to:

  • porušení Nařízení GDPR,
  • existence hmotné nebo nehmotné újmy vyplývající z tohoto porušení a
  • příčinná souvislost mezi újmou a porušením Nařízení GDPR.

Soudní dvůr EU zároveň uvedl, že k přiznání nároku na náhradu újmy se nevyžaduje, aby utrpěná nehmotná újma dosáhla určité hranice závažnosti (tj. hranici závažnosti újmy stanovuje členský stát na základě svého právního řádu za dodržení podmínky zásad rovnocennosti a efektivity).

Žaloba na náhradu újmy se tedy liší od jiných procesních prostředků stanovených v Nařízení GDPR, a to zejména těch, které umožňují uložit správní pokuty, u nichž není třeba prokázat existenci individuální újmy.

Problematika sledování zaměstnanců na pracovišti

Monitoring zaměstnanců na pracovišti zahrnuje rozličné metody od jednoduchého hodnocení činnosti zaměstnance až po detailní sledování činností automatizovanými prostředky. Obecně akceptovaná skutečnost je, že monitoring zaměstnanců na pracovišti je standardně nezávislý na vůli (souhlasu) zaměstnance, tj. toto zpracování osobních údajů je založeno na tzv. oprávněném zájmu správce.

Zaměstnavatel v pozici správce osobních údajů má legitimní (zejm. racionální, založený na objektivních skutečnostech a potřebách, obecně akceptovatelný a ospravedlnitelný) zájem na tom, aby monitoroval své zaměstnance. Vždy je ale nezbytné posoudit, zda nad oprávněným zájmem správce osobních údajů nepřevažují zájmy nebo základní práva a svobody subjektu údajů (zaměstnanců).

Klíčovým parametrem pro zavádění nástrojů sledování zaměstnanců je tedy přiměřenost přijatých opatření a rozsahu zpracovávaných dat a zároveň prokazatelné seznámení zaměstnanců s prováděným monitoringem, jeho parametry a rozsahem.

Problematika sledování zaměstnanců na pracovišti byla v nedávné době řešena v rámci logistického centra společnosti Amazon v dolnosaském Winsenu. Zaměstnanci tohoto logistického centra používají ruční scannery pro záznam některých pracovních kroků v rámci své činnosti. Tato data v podstatě mapují činnost zaměstnance v průběhu celé jeho směny v intervalech v řádu minut. Zaměstnavatel tak má přesný přehled o výkonech jednotlivých zaměstnanců, jež na jejich základě hodnotí, a také o plynulosti, případné přetíženosti nebo nadbytku kapacity v jednotlivých částech pracoviště jako celku.

Dolnosaský úřad pro ochranu osobních údajů spatřoval v detailním mapování činností zaměstnanců logistického centra Amazon prostřednictvím ručních scannerů nelegální soustavný monitoring zaměstnanců a nařídil Amazonu, aby přestal ruční scannery používat. Proti tomuto kroku se společnost Amazon bránila žalobou u příslušného německého soudu, který jí dal zapravdu, protože oprávněným zájmem společnosti Amazon byla skutečnost, že minutové záznamy činnosti zaměstnanců jsou potřebné pro řízení logistických procesů ve skladu a zaměstnanci o tomto monitorování věděli (nejednalo se tedy o skryté sledování zaměstnanců).

Toto rozhodnutí německého soudu lze považovat za novou definici hranice mezi zájmem zaměstnavatele na využití technologií pro zvyšování efektivity podnikání a zájmem zaměstnance na ochraně jeho soukromí.

Nejčastější stížnosti zaměstnanců v pracovněprávních vztazích podle ÚOOÚ

Mezi nejčastější stížnosti patří neochota nebo ignorování žádostí na plnění práv podle Nařízení GDPR stávajících i bývalých zaměstnanců zaměstnavatelem. Nejčastěji se jedná o žádosti o výmaz. Samozřejmě platí podmínka, že výmaz lze provést pouze v případě, že ke zpracování těchto osobních údajů již neexistuje právní důvod, tedy především zákonná povinnost, nebo tomuto právnímu důvodu uplynula lhůta. Může se tedy jednat o osobní údaje, které již nejsou potřebné pro účely, pro které byly správcem shromážděny nebo jinak zpracovány.

Stejně tak ÚOOÚ eviduje stížnosti na nezrušení pracovní e-mailové schránky v případě ukončení pracovního poměru se zaměstnancem a pokračování v dalším zpracování osobních údajů v rozsahu e-mailové adresy, která obsahuje jméno a příjmení zaměstnance. Pokud dochází k záměrnému přesměrování e-mailů na jiné zaměstnance zaměstnavatele a pokračující monitoring, dochází navíc i k porušování listovního tajemství.

Akty o digitálních trzích a o digitálních službách se dotknou i ochrany osobních údajů

V rámci Evropské unie začala platit dvě nová nařízení Evropského parlamentu a Rady (EU), jejichž cílem je harmonizace pravidel digitálního prostředí v EU. Jmenovitě se jedná o Akt o digitálních trzích a Akt o digitálních službách.

Akt o digitálních trzích (Digital Markets Act – DMA) účinný od 2. května 2023 cílí na regulaci trhů a chování platforem na nich. Nařízení se vztahuje na takzvané hlavní služby platforem, které poskytují nebo nabízejí strážci přístupu („gatekeepers“) podnikatelským uživatelům usazeným v EU nebo koncovým uživatelům usazeným či nacházejícím se v EU.

Cílem Aktu o digitálních službách (Digital Services Act – DSA), který je účinný od 16. listopadu 2022, je posílit postavení a ochranu uživatelů on-line služeb, včetně nezletilých osob, a to tím, že určené subjekty budou mít povinnost vyhodnocovat a následně zmírňovat svá systémová rizika a zároveň budou muset zajistit spolehlivé nástroje pro moderování obsahu.

Některé povinnosti vyplývající z výše uvedených nařízení se do jisté míry dotýkají i zpracování a ochrany osobních údajů. Strážce přístupu se konkrétně musí podle čl. 5 písm. a) Aktu o digitálních trzích zdržet:

  • kombinování osobních údajů získaných z určených hlavních služeb platforem s osobními údaji z jakýchkoliv jiných služeb nabízených strážcem nebo s osobními údaji ze služeb třetích stran, a
  • přihlašování koncových uživatelů k dalším službám strážce s cílem kombinovat osobní údaje, pokud nebyla koncovému uživateli předložena konkrétní možnost volby a nebyl poskytnut souhlas ve smyslu GDPR.

Akt o digitálních trzích tedy vyžaduje OPT-IN souhlas koncového uživatele. Uplatní se přitom všechny požadavky, které na souhlas klade Nařízení GDPR, tj. souhlas musí být svobodný, informovaný, konkrétní, jednoznačný a musí být možné jej odvolat.

Pořizování a uchovávání kopií výpisu z Rejstříku trestů zaměstnanců

Zákoník práce (zákon č. 262/2006 Sb.) obsahuje relevantní ustanovení upravující problematiku zpracování osobních údajů zaměstnanců. Dle zákoníku práce zaměstnavatel nesmí od svých zaměstnanců vyžadovat informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem, tj. informace o sexuální orientaci, původu, členství v odborové organizaci, členství v politických stranách nebo hnutích, příslušnosti k církvi nebo náboženské společnosti.

Informace o těhotenství, rodinných poměrech, majetkových poměrech a trestněprávní bezúhonnosti zaměstnance může zaměstnavatel vyžadovat, pouze pokud je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to stanoví zákoník práce nebo zvláštní právní předpis – jedná se tedy o pracovní pozice, ve kterých zákon vyžaduje trestní bezúhonnost zaměstnance.

I v těchto případech je však třeba mít na paměti, že výpis z Rejstříku trestů je zaměstnancem zaměstnavateli předložen, nicméně zaměstnavatel není oprávněn tento doklad ukládat nebo pořizovat jeho kopii, pouze uvede v evidenci, že výpis z Rejstříku trestů byl předložen.

V případě kontrolních orgánů, které v rámci své činnosti mohou trestní bezúhonnost ověřovat, mohou toto zajistit z moci úřední samy.

Metodika ke kamerovým systémům

Úřad pro ochranu osobních údajů (ÚOOÚ) zahájil proces veřejné konzultace k materiálu Metodika k návrhu a provozování kamerových systémů z hlediska zpracování a ochrany osobních údajů.

Cílem zpracovaného návrhu metodiky ke kamerovým systémům je snaha zajistit lepší orientaci správců a zpracovatelů osobních údajů, stejně jako dodavatelů kamerových systémů v povinnostech, které se týkají návrhů, zřízení a provozování kamerových systémů.

Metodika se týká kamerových systémů (včetně fotopastí) se záznamem a také kamerových systémů v režimu on-line, které jsou zahrnuty do zpracování osobních údajů.

Je navrženo zavedení řazení kamerových systémů do čtyř tříd, a to s návrhem minimálních technických a organizačních opatření a příkladem možného zpracování balančního testu. ÚOOÚ přivítá vyjádření k návrhům uvedeným v metodice, včetně upřesnění nebo lepšího zacílení parametrů.

V případě některých kamerových systémů mohou metodiku doplnit i postupy vydané příslušnými ministerstvy (např. Ministerstva školství, mládeže a tělovýchovy pro školy nebo Ministerstva vnitra pro obce), které mohou upravovat některá specifika. Metodika neřeší kamerové sledování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce nebo je zpracování nezbytné pro splnění právní povinnosti, která se na správce vztahuje.

Materiál je dostupný na webových stránkách Úřadu pro ochranu osobních údajů https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=56872.

Ochrana oznamovatelů (Whistleblowing)

Poslanecká sněmovna schválila návrh zákona o ochraně oznamovatelů, který implementuje směrnici EU.

Zpracování osobních údajů musí samozřejmě naplňovat všechny parametry zákonnosti zpracování, především minimalizace údajů, omezení účelem, omezení uložení a zpřístupnění osobních údajů, zabezpečení osobních údajů, transparentnost zpracování a právní důvod zpracování.

  • Důležitým aspektem při zajištění povinností ochrany oznamovatelů plynoucích ze zákona je ochrana osobních údajů osob, které upozorní na protiprávní jednání, ale i osob, jichž se oznámení týká nebo jsou uváděni jako svědci. Je tedy nezbytné zabránit zneužití nebo úniku jejich osobních údajů a odhalení identity dotčených osob.
  • Právo na ochranu identity v tomto případě tedy převyšuje právo třetích osob na přístup ke svým osobním údajům.
  • Poskytnutí informací o totožnosti oznamovatele třetím osobám musí být vždy podloženo písemným souhlasem.
  • Při zpracování osobních údajů osob uvedených v oznámení je nezbytné vždy respektovat pravidlo minimalizace osobních údajů, jejich přesnost a omezení účelem.
  • Zpracování osobních údajů musí být omezeno lhůtou, po jejímž uplynutí dojde k výmazu nebo anonymizaci osobních údajů. Vždy se musí jednat o dobu nezbytnou k prošetření případu případně navazujících kroků. K výmazu musí dojít také v případě, že oznámení nesplňuje parametry zákona o ochraně oznamovatelů – především svým věcným zaměřením.

Zpracování musí být evidováno formou Záznamu o činnostech zpracování podle článku 30 Nařízení GDPR.

Nezbytnou podmínkou v případě využívání služeb externí společnosti pro zajištění povinností v oblasti ochrany oznamovatelů je také uzavření zpracovatelské smlouvy, která upřesňuje jakým způsobem bude docházet ke zpracování osobních údajů mezi subjekty a za jakých podmínek.

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2022

Úřad pro ochranu osobních údajů provádí dozorovou činnost v oblasti ochrany osobních údajů upravenou především obecným nařízením a zákonem č. 110/2019 Sb., o zpracování osobních údajů. Ta spočívá v provádění kontrol, vedení správních řízení o pokutě či o nápravném opatření, případně v komunikaci se správci a zpracovateli, která zahrnuje i dopisy upozorňující na možné porušení právních předpisů.

V roce 2022 přijal ÚOOÚ 2 192 podnětů a stížností v oblasti ochrany osobních údajů. Nejčastějšími podněty a stížnostmi byly:

  • výkon práv subjektů údajů dle článků 15 až 21 obecného nařízení (8%),
  • zveřejnění / zpřístupnění osobních údajů (10%),
  • obchodní sdělení a telemarketing (25%),
  • monitorování fyzických osob prostřednictvím kamer (10%).

V roce 2022 přijal ÚOOÚ 313 ohlášení porušení zabezpečení osobních údajů. Jako nejčastější příčinu porušení zabezpečení osobních údajů ohlašovatelé uváděli kybernetický útok, nejčastěji ransomware, event. jiný typ externího útoku.

Poskytovatelé zdravotních služeb:

  • Nejčastější příčinou porušení zabezpečení byla lidská chyba, nikoli systémové pochybení správce při zpracování osobních údajů, např. přeposlání zdravotní dokumentace jiné nemocnici, než do které měla být odeslána, ponechání žádanek na vyšetření pacientů na stole u otevřených oken za bouřky, neoprávněné nahlížení do zdravotní dokumentace ze strany lékařů, kteří z titulu svého pracovního zařazení neměli důvod do této dokumentace nahlížet a následně předali takto získané informace třetí straně.
  • Při zavádění nového informačního systému v rámci nemocnice byla volně přístupná dokumentace, obsahující přístupová hesla do systému. ÚOOÚ se aktuálně zabývá možným porušením povinností správce, neboť předmětný incident ze strany této nemocnice nebyl ÚOOÚ ohlášen.

Nejčastější chyby při ohlašování porušení zabezpečení osobních údajů:

  • Správce osobních údajů nevyužije k ohlášení formulář k tomu určený na webové stránce ÚOOÚ a plní ohlašovací povinnost pouze formálně.
  • V ohlášení chybí informace o osobě, která činí ohlášení jménem správce, zda se jedná o Pověřence pro ochranu osobních údajů, nebo nejsou uvedeny kontaktní údaje na tuto osobu.
  • Správce není schopen popsat příčiny porušení, např. uvede pouze „ransomwarový útok“, „došlo k znepřístupnění dat“, „nelze pracovat s informačním systémem školy“, mnohdy je zaměňováno „porušení dostupnosti dat“ za „ztrátu dat“ popř. „zničení dat“.
  • Není uveden popis zjištěných účinků ani přibližný počet dotčených subjektů údajů ani přibližný počet dotčených záznamů osobních údajů.
  • Správce osobních údajů nezajistí informování dotčených subjektů o vzniklém porušení ochrany údajů.

Poskytnutí kopie výplatní pásky vedoucího zaměstnance

Úřad pro ochranu osobních údajů v odvolacím řízení přezkoumával postup povinného subjektu v případě žádosti o kopii výplatní pásky vedoucího zaměstnance a dospěl k závěru, že zákon č. 106/1999 Sb., o svobodném přístupu k informacím nevylučuje, aby povinný subjekt omezil poskytnutí osobních údajů či údajů o soukromí fyzické osoby uvedených ve výplatní pásce i jiným adekvátním způsobem než anonymizací výplatní pásky, a to za předpokladu, že informační právo žadatele a účel zákona č. 106/1999 Sb. budou naplněny.

ÚOOÚ zdůraznil, že při poskytování informací podle zákona č. 106/1999 Sb. je podstatný obsah informací, nikoliv hmotný nosič tohoto obsahu. ÚOOÚ proto neshledal rozpor s § 12 zákona č. 106/1999 Sb., pokud povinný subjekt poskytl žadateli informace z výplatní pásky vedoucího zaměstnance, jejichž vydání zákon nezapovídá, formou samostatného sdělení a současně v rozsahu vyloučených informací žádost odmítl.

Vzhledem k účelu výplatní pásky, kterým je umožnit zaměstnanci kontrolu správnosti výpočtu příjmu v příslušném kalendářním měsíci a jeho zúčtování o zákonné a další odvody, a vzhledem k obsahu výplatní pásky jakožto písemného dokladu sestávajícího téměř výlučně z osobních údajů či údajů vypovídajících o soukromí zaměstnance, považuje ÚOOÚ takový způsob poskytnutí informace za přiměřený. Žadateli umožňuje účinné využití poskytnutých informací a současně je šetrnější k právu na ochranu osobních údajů a soukromí dotčené osoby.

Anketa Evropské komise k ochraně vlastní virtuální identity

Obchodní model některých společností se z velké části zakládá na tom, že shromažďují vaše osobní údaje a sdílejí je se třetími stranami. Jedná se obvykle o platformy typu sociálních sítí, poskytovatele e-mailových schránek, vyhledávače a dodavatele softwaru. Údaje, které tyto společnosti sbírají, mohou přesahovat hranice toho, co s nimi aktivně sdílíte na svém veřejném profilu. Společnosti si též mohou udržovat přehled o vašich e-mailech, kalendáři, vyhledávání, místě výskytu, zprávách, stránkách, které vás zajímají, a skupinách, ve kterých jste zapojeni.

Těmito údaji si podle vašich zájmů a preferencí utvářejí představu o vaší virtuální identitě. Tu potom mohou zpeněžovat v rámci cílené reklamy.

Virtuální identita v sobě totiž nese informace, které na sebe uživatel internetu prozradil ve vyhledavačích, sociálních sítích, diskusích apod. Společnosti, které takové platformy provozují, se tak stávají zpracovateli obrovského množství osobních údajů a měly by jasně a srozumitelně definovat pravidla používání a informovat uživatele o zpracování osobních údajů.

V praxi toto pravidlo představují výzvy k odsouhlasení všeobecných podmínek a nastavení ochrany osobních údajů. Těm však věnuje pozornost jen málokdo a vystavuje se tak riziku poskytnutí osobních údajů subjektu, jež bude s jejich osobními údaji nakládat v rozporu s jeho zájmy případně je bude i sdílet s třetími stranami. V neposlední řadě mnoho uživatelů neví, jak si svá nastavení ochrany upravit.

Evropská komise provedla anketu, které se zúčastnilo 27 tisíc Evropanů, ze které vyplynulo, že většina uživatelů si nastavení ochrany svého soukromí ani nepokouší změnit – buď z důvěry, že sociální síť má ochranu soukromí přednastavenu přiměřeně, nebo třeba vinou skutečnosti, že si nastavení sami změnit neumí.

Zřízena pracovní skupina EDPB k ChatGPT

Evropský sbor pro ochranu osobních údajů (EDPB) se rozhodl zřídit specializovanou pracovní skupinu na podporu spolupráce a výměnu informací o možných donucovacích opatřeních prováděných orgány pro ochranu osobních údajů v souvislosti s aplikací ChatGPT.

Členové EDPB tak reagují na nedávné vynucovací opatření, které podnikl italský úřad pro ochranu osobních údajů proti společnosti Open AI ve vztahu k provozování služby Chat GPT.

GDPR snížilo e-shopům přístup k osobním údajům zákazníků o zhruba 30%

ČTK: Díky zavedení pravidel ochrany soukromí GDPR přišli internetoví obchodníci a další internetové firmy zhruba o 30 procent dat o uživatelích. Úbytek způsobila povinnost zpracovávat osobní údaje pouze za účelem vyřízení objednávky a další sběr a využívání osobních údajů podložit souhlasem se zpracováním osobních údajů.

Úprava zveřejněného seznamu majitelů datových schránek

Povinnost vést veřejný seznam fyzických osob, podnikajících fyzických osob, právnických osob a orgánů veřejné moci, které mají zřízenu a zpřístupněnu datovou schránku, tzn. seznam držitelů datových schránek, který je přístupný způsobem umožňujícím dálkový přístup, je dána ustanovením § 14b odst. 1 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů. Tento seznam vede Digitální a informační agentura – v souladu s ustanovením § 2 odst. 2 tohoto zákona zřizuje a spravuje datové schránky a je zároveň správcem informačního systému datových schránek podle ustanovení § 14 odst. 2 tohoto zákona.

Pokud fyzická osoba nesouhlasí s uvedením svých údajů ve veřejném seznamu držitelů datových schránek, podle ustanovení § 14b odst. 4 zákona o elektronických úkonech a autorizované konverzi dokumentů má právo na vymazání údajů z tohoto seznamu.

Seznam držitelů datových schránek obsahující jejich osobní údaje, a to včetně celého jména a kompletní adresy trvalého bydliště, byl zveřejněn v březnu 2023. Seznam je zveřejněn nejen v podobě formuláře pro vyhledávání konkrétní datové schránky na stránkách mojedatovaschranka.cz, ale současně také v rámci systému tzv. „otevřených dat“ (seznam byl zveřejněn „způsobem umožňujícím dálkový přístup v otevřeném a strojově čitelném formátu“).

Na základě dohody představitelů Úřadu pro ochranu osobních údajů a Digitální a informační agentury jsou ze systému otevřených dat odstraněny seznamy nepodnikajících fyzických osob, které byly dosud zveřejněny na webu Datových schránek a v Národním katalogu otevřených dat. Dále byla dohodnuta spolupráce při přípravě odpovídající úpravy stávající legislativy směřující ke zpřístupnění údajů o datových schránkách fyzických osob pouze uživatelům datových schránek.

Vliv GDPR na politiku řízení hesel

Implementace GDPR je nezbytná i v oblasti bezpečnostních opatření, a to vč. politiky řízení hesel, tzv. password management (správce hesel).

Základem zabezpečení osobních údajů a kybernetické bezpečnosti je používat do jednotlivých online účtů silná hesla a s heslem nakládat správným způsobem, a to jak v rámci využívané služby správce hesel, tak i v rámci své evidence hesel.

Národní úřad pro kybernetickou a informační bezpečnost vydal doporučení jak zabezpečit online účty (viz https://nukib.cz/download/publikace/doporuceni/Doporuceni_bezpecny_pohyb_v_kyber_svete_plakat_cb.pdf):

  • Přístupy k pracovním i osobním účtům chránit silným heslem.
  • U silného hesla zadávat alespoň 12 znaků a více, velká a malá písmena, číslice i speciální znaky a symboly.
  • Pro každou službu používat jiné unikátní heslo.
  • Nepoužívat online nástroje či služby pro kontrolu síly hesla.
  • Využívat správce hesel pro méně významné online účty.
  • Nesdílet přihlašovací údaje k vlastním účtům a službám.
  • Využívat vícefaktorovou autentizaci u kritických služeb (zejména u elektronického bankovnictví, soukromého e-mailu a pracovního e-mailu).
  • Oddělovat administrátorský účet od běžného.
  • Nepoužívat kontrolní otázky pro obnovení hesla.

Aktualizace doporučení ÚOOÚ k cookies liště

Úřad pro ochranu osobních údajů (ÚOOÚ) aktualizoval doporučení, informace a základní pravidla pro nastavení a uživatelský přístup prostřednictvím cookies souborů. Informace a doporučení jsou určeny jak pro provozovatele webových rozhraní, tak i pro běžné uživatele.

Aktualizovaná doporučení zveřejněná na webové stránce ÚOOÚ https://www.uoou.cz/cookie-listy-a-udelovani-souhlasu/ds-6912/archiv=1&p1=2611 obsahují informace k následujícím oblastem:

  • Co je potřeba dodržovat, pokud využívám cookies na svých webových stránkách?
  • Musím mít za všech okolností cookies lištu?
  • Musím získat souhlas uživatele s ukládáním všech cookies?
  • Jaký je rozdíl mezi udělením souhlasu podle zákona o elektronických komunikacích a souhlasem podle obecného nařízení? Je třeba získávat dva samostatné souhlasy?
  • Jaké jsou podmínky udělení souhlasu podle obecného nařízení?
  • Je možné udělit souhlas prostřednictvím nastavení prohlížeče?
  • Jakým způsobem informovat uživatele o cookies při získávání souhlasu?
  • Musím umožnit uživateli udělený souhlas odvolat?
  • Je možné zpracovávat osobní údaje prostřednictvím cookies na základě oprávněného zájmu?
  • Je možné, aby tlačítko „Přijmout vše“ mělo jinou barvu než „Odmítnout vše“?
  • Je třeba, aby bylo tlačítko „Odmítnout vše“ vidět na první pohled? Je případně možné umístit jej až do Nastavení?
  • Je možné mít v Nastavení předem zaškrtnuté ANO u analytických a marketingových cookies?
  • Je potřeba informovat o všech jednotlivých cookies, které uživatel přijímá? Kde případně má být výpis umístěn?
  • Mohu před udělením souhlasu s cookies bránit zákazníkovi v použití stránek?
  • Pokud uživatel cookie lištu zavře, mohu to považovat za souhlas?
  • Jak dlouho je možné uchovávat souhlas s ukládáním cookies a kdy lze opětovně žádat o udělení souhlasu v případě jeho předchozího odmítnutí?

Veřejná konzultace k metodice legislativního DPIA

V březnu 2023 Úřad pro ochranu osobních údajů zahájil veřejnou konzultaci k metodickému doporučení pro posouzení dopadů na ochranu osobních údajů u předloh právních předpisů. Metodická doporučení pro legislativní DPIA jsou zveřejněná na webových stránkách ÚOOÚ https://www.uoou.cz/metodika-pro-legislativni-dpia/ds-7270/archiv=1&p1=1257.

Cílem je promítnout poslední novelu legislativních pravidel vlády, která zavedla podrobnější strukturu zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů. Dílčím cílem aktivit ÚOOÚ je také přepracování návodu k posouzení vlivu na ochranu osobních údajů u návrhů právních předpisů (DPIA) z roku 2019.

Dozorová akce EDPB – CEF 2023: Kontrola Pověřenců pro ochranu osobních údajů

Evropský sbor pro ochranu osobních údajů (EDPB) zahájil koordinovanou dozorovou akci Coordinated Enforcement 2023 (CEF 23). Během letošního roku se do této akce zapojí 26 dozorových úřadů (DPA) Evropského sboru pro ochranu osobních údajů, a to včetně úřadu Evropského inspektora pro ochranu osobních údajů (EDPS). Společná dozorová akce je zaměřena na prověření úlohy a postavení Pověřenců pro ochranu osobních údajů v jednotlivých zemích evropského hospodářského prostoru (EHP).

Zúčastněné dozorové úřady pro ochranu osobních údajů provedou v rámci CEF 2023 na vnitrostátní úrovni šetření, jehož cílem bude posouzení odpovídajícího postavení Pověřenců pro ochranu osobních údajů v jejich organizacích (viz čl. 37 až 39 Nařízení GDPR), a zda disponují dostatečnými zdroji pro plnění svých úkolů.

Po ukončení akce CEF 23 budou výsledky koordinovaným způsobem analyzovány a dozorové úřady pro ochranu osobních údajů rozhodnou o případném dalším vnitrostátním dohledu a vynucovacích opatřeních.

DGA – Nařízení EU o správě dat z pohledu osobních údajů

Sdílení osobních i neosobních dat v rámci zemí Evropské unie, kde budou pro tento účel vytvořeny zprostředkovatelské struktury, usnadní Nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724, tzv. akt o správě dat – Data Governance Act (DGA). Toto Nařízení bylo publikováno v Úředním věstníku EU 3. června 2022 a nabyde účinnosti 24. září 2023.

Doplňkem aktu o správě dat (DGA) bude akt o datech (Data Act, DA), který mimo jiné zavede povinné sdílení dat.

V rámci českého právního řádu je gestorem DGA Ministerstvo průmyslu a obchodu, s výjimkou článků 3 – 9 DGA, jejichž gestorem je Ministerstvo vnitra, které připravilo věcný záměr zákona o správě dat veřejného sektoru.

Úřad pro ochranu osobních údajů by měl – dle části 5.4 návrhu věcného záměru – udělovat sankce za porušení podmínek užití dat poskytnutých řízeným přístupem a působit jako odvolací instance pro přezkum rozhodnutí o neumožnění řízeného přístupu vydaných jednotným informačním místem.

Lhůta pro zpracování osobních údajů v oblasti plnění opatření proti šíření koronaviru

Při uchovávání osobních údajů a záznamů zpracovaných v rámci plnění opatření proti šíření koronaviru (tj. přehledů o provedených testech na pracovišti, očkování zaměstnanců, prodělaných onemocnění a další dokumentace obsahující osobní údaje zaměstnanců) je nezbytné ctít zásadu přiměřenosti a účelovosti sběru dat podle čl. 5 odst. 1 písm. e) Nařízení GDPR.

Dle vyjádření Ministerstva zdravotnictví při stanovování délky uchovávání dat zpracovávaných v rámci plnění opatření proti šíření koronaviru lze vycházet z bodu VI. písm. a) mimořádného opatření Ministerstva zdravotnictví ze dne 5. 1. 2022, č.j. MZDR 461/2022-1/MIN/KAN, které z důvodu evidenčních a kontrolních účelů stanovovalo tuto lhůtu u testování zaměstnanců na 90 dnů. V kontextu toho, že toto opatření vycházelo z aktuální situace, lze považovat tuto lhůtu za plně dostačující.

V současné době je tedy možné veškerou výše uvedenou dokumentaci zařadit do skartačního řízení.

Nová úprava DPIA – Posouzení vlivu na ochranu osobních údajů

Od 1. dubna 2023 budou, na základě novely legislativních pravidel ukládající povinnosti normotvůrcům při tvorbě zákonů, vyhlášek a nařízení, upravena pravidla pro zpracování Posouzení vlivu na ochranu osobních údajů – Data Protection Impact Assessment (DPIA).

Na základě požadavku Úřadu pro ochranu osobních údajů bude do legislativních pravidel vlády zavedena přesná struktura pro zpracování Posouzení vlivu na ochranu osobních údajů, tzv. legislativní DPIA. DPIA bude tedy nutné zpracovat u každého návrhu právního předpisu, včetně podzákonného, tj. nařízení vlády i vyhlášky.

Podle § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, legislativní DPIA nahradí DPIA podle Nařízení GDPR, tj. vliv zpracování na ochranu osobních údajů se neposuzuje, byl-li posouzen jako součást obecného posouzení dopadů v souvislosti s přijetím právního předpisu / splněním právní povinnosti. Pro správce osobních údajů tak dojde od dubna 2023 k výraznému zjednodušení provádění DPIA.

Upřesnění výkladu práva subjektů údajů na přístup k informacím

Výklad práva subjektů údajů na přístup k požadovaným informacím upřesnil v lednu 2023 Soudní dvůr Evropské unie. V rozsudku ze 12. ledna 2023 vydaném ve věci C-154/21 (https://curia.europa.eu/juris/document/document.jsf?mode=req&pageIndex=1&docid=269146&part=1&doclang=CS&text=&dir=&occ=first&cid=167) Soudní dvůr EU vyložil povinnost správce osobních údajů podle čl. 15 odst. 1 písm. c) Nařízení GDPR tak, že pokud si to subjekt údajů přeje, má právo na informace o konkrétních příjemcích svých osobních údajů, nikoliv jen o kategoriích příjemců osobních údajů – ledaže je nemožné identifikovat tyto příjemce nebo uvedený správce osobních údajů doloží, že žádost subjektu údajů o přístup je zjevně nedůvodná nebo nepřiměřená.

Rozsudek Soudního dvora EU tedy stanovuje, že informace poskytované subjektu údajů na základě práva na přístup stanoveného v čl. 15 Nařízení GDPR musí být co možná nejpřesnější, tj. subjekt údajů musí mít možnost získat od správce osobních údajů na základě podané žádosti informace o konkrétních příjemcích, kterým byly nebo budou údaje zpřístupněny.

Evidence docházky zaměstnanců prostřednictvím biometrie

Problematiku použití biometrie při evidenci docházky ze strany zaměstnavatele je nezbytné řešit i z pohledu ochrany osobních údajů, neboť otisky prstů jsou zvláštní kategorie osobních údajů.

Zpracování otisku prstu představuje technické zpracování fyziologických znaků fyzické osoby, které umožňuje její jedinečnou identifikaci. Otisk prstu je biometrickým údajem ve smyslu čl. 4 písm. 14 Nařízení GDPR. Zpracování biometrických údajů podléhá ještě přísnější ochraně než běžné osobní údaje.

Zaměstnavatel je při sběru a zpracování osobních údajů o zaměstnancích vázán jak zákoníkem práce, který upravuje soukromí zaměstnanců, tak i Nařízením GDPR a prováděcím zákonem České republiky č. 110/2019, o zpracování osobních údajů. Pokud zaměstnavatel chce zpracovávat údaj spadající do zvláštní kategorie osobních údajů (např. otisk prstu), musí k tomu mít některý ze zákonem stanovených důvodů a musí být připraven tento důvod jednoznačně prokázat, např. zpracování osobních údajů nezbytných pro zajištění a uplatnění právních nároků.

Další možností je zpracování osobních údajů zaměstnanců vč. otisku prstů na základě uděleného výslovného souhlasu zaměstnanců. Použití souhlasu zaměstnance se zpracováním osobních údajů je v pracovních vztazích ve většině případech velmi problematické z důvodů závislostí vyplývající ze vztahu zaměstnavatel / zaměstnanec. Všeobecně je přijímán názor, že souhlas udělený v pracovní smlouvě lze jen těžko považovat za svobodný, protože zaměstnanec má enormní zájem na uzavření pracovního poměru a souhlas udělí právě proto, aby nebyl jako zaměstnanec odmítnut.

Čínský TikTok je bezpečnostní riziko

Zaměstnanci Evropské komise musejí do 15. března 2023 odinstalovat čínskou aplikaci TikTok, a to nejen ze všech služebních zařízení, ale také ze soukromých, která jsou využívána i pro služební potřeby. Pokud tak neučiní, nebudou mít od následujícího dne přístup k interním systémům a informacím Evropské komise. „Od 15. března budou zařízení s nainstalovanou aplikací považována za nekompatibilní s podnikovým prostředím.“ uvádí se v nařízení. Komise dále uvedla, že je to poprvé, co pozastavila používání aplikace pro své zaměstnance.

Evropská komise zakázala zaměstnancům používat čínskou aplikaci sociálních médií TikTok vzhledem k bezpečnostním rizikům, která jsou s touto aplikací spojena. Podle Evropské komise jsou čínské technologické společnosti propojeny s čínskými zpravodajskými službami a shromažďují obrovské množství dat z celého světa. Aplikace představuje významná kybernetická a datová rizika pro unijní exekutivu.

Spojené státy americké zakázaly aplikaci TikTok pro všechna zařízení federální vlády z obav z potenciální čínské špionáže už v prosinci minulého roku. Několik států minulý týden také zavedlo vlastní omezení.

Zdroj a více informací na internetových stránkách serveru Politico (politico.eu).

Kybernetické incidenty pohledem NÚKIB v lednu 2023

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v lednu 2023 evidoval více než dvojnásobný nárůst kybernetických incidentů oproti předchozímu měsíci. Drtivá většina z nich však z pohledu závažnosti spadala mezi méně významné, což je dáno především vysokým počtem zaznamenaných DDoS útoků, které zpravidla nemají významnější dopady. Významné incidenty byly registrovány pouze dva, zatímco velmi významné incidenty absentovaly.

V lednu 2023 výrazně převažovaly incidenty u povinných osob dle zákona o kybernetické bezpečnosti, přičemž převážná většina zasažených subjektů spadá do sektoru veřejné správy.

Nejpočetnějším typem incidentu se staly útoky na dostupnost, v rámci kterých převažovaly DDoS útoky na webové stránky obětí. V návaznosti na nárůst zaznamenaných DDoS útoků se NÚKIB věnuje technice T1498: Network Denial of Service s důrazem na možnosti mitigace. Za zvýšeným počtem DDoS útoků stála ruskojazyčná skupina NoName057(16), která v průběhu ledna zasáhla webové stránky více než desítky státních i soukromých subjektů.

Využívání služeb cloud computingu orgány veřejné správy

V současné době stále více orgánů veřejné správy využívá služby cloud computingu.

Cloud computing je podle zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, definován jako „způsob zajištění provozu informačního systému veřejné správy nebo jeho části prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy“.

Koncem minulého roku nastala orgánům veřejné správy povinnost používat pou­ze služby cloud computing zapsané ve veřejném seznamu – katalogu Ministerstva vni­tra (https://www.mvcr.cz/clanek/egovernment-cloud.aspx?q=Y2hudW09NQ%3D%3D). Pokud tedy orgán veřejné správy začal mezi 1. září 2021 a 31. ledna 2022 využívat službu cloud computing nezapsanou v katalogu Ministerstva vnitra, musí její využívání ukončit, protože přestala platit první výjimka z cloudových vyhlášek č. 315/2021 Sb. a č. 316/2021 Sb.

Tato regulace cloud computingu se vztahuje na všech­ny orgány veřejné správy včetně měst a obcí, pokud jsou služby cloud computingu používány k výkonu veřejné sprá­vy. Návod na posouzení, zda se subjekt řadí pod definici orgánu veřejné správy včetně případných výji­mek z regulace pro některé služby cloud computingu, je uveden v Příručce právní regulace cloudu (https://publishing.nugisfinem.org/prirucka-pravni-regulace-cloudu/).

Bezpečnost v rámci zákaznických věrnostních programů

Dle výsledků průzkumu realizovaného společností Provident Financial téměř 95 % zákazníků využívá při nakupování věrnostní programy. V rámci věrnostního programu zákazníci využívají buď on-line aplikaci daného obchodu nebo fyzickou věrnostní zákaznickou kartu. Některé věrnostní karty lze použít napříč různými službami, od potravinových obchodních řetězců až po benzinové pumpy. Získaná data o zákaznících mohou obchodníci využít jak k vytvoření nabídky na míru daného zákazníka či k propagaci konkrétních produktů, tak i ke změně nákupního chování zákazníků.

Využívání věrnostních programů však s sebou nese riziko možného úniku dat a detailního sledování chování zákazníků při nakupování, obchodníci se tak dostanou k informacím nejen o zákaznících, ale i nákupech vč. preferencí konkrétního zboží, které by bez využití věrnostního programu nezjistili. Z bezpečnostního pohledu nehraje roli, zda zákazníci využívají on-line aplikaci v mobilním telefonu či fyzickou věrnostní kartu – bezpečnostní problémy primárně souvisí se servery, kde jsou data uložena, ne se samotnou věrnostní kartou. Únik dat z věrnostních programů byl již několikrát v minulosti řešen, např. u věrnostního programu hotelového řetězce Radisson, hotelů Marriott, společnosti Dunkin’ Donuts, kanadského McDonald’s či letecké společnosti Lufthansa.

Dle vyjádření bezpečnostních expertů lze čerpat výhody věrnostních programů, a přesto „sledování informací“ obchodníky obejít, a to sdílením věrnostní zákaznické karty s rodinou. Díky sdílení věrnostní karty bude systém znát údaje pouze registrované osoby, ale nákupní chování bude patřit několika lidem a obchodníci pak nebudou moci vytvořit profil konkrétního zákazníka.

Kontrolní plán ÚOOÚ pro rok 2023

Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil na svých webových stránkách kontrolní plán pro rok 2023 (https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=56742).

V letošním roce se ÚOOÚ v rámci své kontrolní činnosti zaměří na následující kontroly:

  • Kontrola zpracování osobních údajů dvěma soudními exekutory, kteří budou vybráni na základě stížností došlých na ÚOOÚ.
  • Kontrola systému Eurodac určeného pro srovnání otisků prstů žadatelů o azyl a některých kategorií ilegálních přistěhovalců. Kontrola, která bude provedena na Ministerstvu vnitra, bude zaměřena na nastavení odpovídajících procesů pro případ zpracování otisků prstů.
  • Kontrola zpracování osobních údajů zastupitelským úřadem (Ministerstvem zahraničních věcí) v rámci vízového procesu – kontrola bude zaměřena na pravidelný monitoring vízového procesu z pohledu ochrany osobních údajů, včetně provedení kontroly zpracování osobních údajů konkrétním konzulátem či velvyslanectvím. Při výběru konkrétního zastupitelského úřadu budou zohledněny statistiky počtu žádostí o schengenská víza, případné zapojení externího poskytovatele služeb do vízového procesu (provoz vízového centra), pandemická a mezinárodně-politická situace.
  • Kontrola rozsáhlého kamerového systému s biometrickými funkcemi – kontrola bude zaměřena na umístění kamer vybraného subjektu, na spravující orgány provozující tyto kamery a právní režimy, kterými se řídí zpracování osobních údajů.
  • Kontrola informačních systémů Policie ČR – kontrola bude zaměřena na kontrolu vybraného informačního systému Police ČR a dále na kontrolu zpracování osobních údajů v konkrétní databázi.
  • Kontrola zpracování osobních údajů vybraným významným zpracovatelem – kontrola bude zaměřena na plnění povinností Nařízení GDPR v pozici zpracovatele osobních údajů, a to především na případné zapojování dalších zpracovatelů, informování o změnách v zapojení dalších zpracovatelů, doložení způsobu projednání změn v oblasti zapojení dalších zpracovatelů se správcem atd.
  • Kontrola zpracování osobních údajů v souvislosti s telemarketingem – kontrola vybrané společnosti zabývající se telemarketingem bude provedena ve spolupráci s Českým telekomunikačním úřadem. Kontrola bude primárně zaměřena na to, zda kontrolovaný subjekt disponuje titulem pro zpracování osobních údajů a zdali dostatečně plní svoji informační povinnost vůči subjektům údajů.
  • Kontrola osobních údajů zpracovávaných zaměstnavateli v rámci docházkových systémů – první část kontroly bude realizována formou dotazníku, který bude rozeslán vytipovaným správcům osobních údajů (zaměstnavatelům). Dotazník bude zaměřen na získání základního přehledu o tom, jaký rozsah a kategorie osobních údajů v rámci docházkového systému správci zpracovávají. Po vyhodnocení dotazníku budou vytipováni konkrétní správci, u kterých proběhne kontrola.
  • Kontrola zpracování osobních údajů vybraných společností – kontrola bude zaměřena především na databázi a na to, jaké databáze společnost vytváří, z jakých zdrojů jsou čerpány osobní údaje, zdali společnost disponuje právním titulem pro zpracování osobních údajů v rámci těchto databází, jakým způsobem plní informační povinnost a jakým způsobem probíhá výkon práv subjektů údajů.
  • Kontrola zpracování osobních údajů v souvislosti s vydáváním občanských průkazů (v rámci Ministerstva vnitra) – kontrola se zaměří na proces zpracování osobních údajů od podání žádosti o vydání občanského průkazu až po jeho vyhotovení, a to včetně zmapování zapojených subjektů, kteří se na zpracování osobních údajů podílejí.
  • Kontrola nastavení zpracování osobních údajů podnětů fyzických osob – kontrola bude zaměřena na nastavení doby uchování osobních údajů, plnění informačních povinností vůči subjektům údajů, výkon práv subjektů údajů a zapojení pověřence pro ochranu osobních údajů.
  • Kontrola využívání sociálních sítí ministerstvy – kontrola bude provedena formou dotazníku, kterým bude osloveno několik ústředních orgánů státní správy využívajících pro kontakt s veřejností sítě Twitter, Facebook, Instagram, Youtube, Linkedin a síť Mastodont. Kontrola se zaměří na dodržování zásad zpracování osobních údajů podle Nařízení GDPR včetně kontroly nad celým řetězcem operací prováděných s osobními údaji zaměření a na informování subjektu údajů a oboustrannou komunikaci s nimi.
  • Koordinovaná kontrolní akce (v rámci EDPB Coordinated Enforcement Framework) – ÚOOÚ se bude v roce 2023 spolu s dalšími evropskými dozorovými úřady podílet na koordinované kontrolní akci týkající se postavení pověřenců pro ochranu osobních údajů.
  • Kontrolní akce oddělení obchodních sdělení u dvou vybraných společností v oblasti šíření obchodních sdělení – kontrola bude zaměřena na dodržování podmínek při šíření obchodních sdělení prostřednictvím SMS zpráv.

Anonymizace IP adresy

Při síťovém provozu se zařízení připojují za užití IP adres a v rámci komunikace jsou zaznamenávány adresy jak odesílatele, tak recipienta. Z pohledu GDPR je IP adresa osobním údajem.

IP adresa je série číslic, sloužící k jedinečné identifikaci zařízení připojeného k síti internet. Skládá se ze dvou částí – identifikace sítě, která určuje geografickou lokalizaci sítě, a „Host ID“ přesně určující konkrétní zařízení.

V případě potřeby lze IP adresu jako osobní údaj anonymizovat. Anonymizaci IP adresy lze zapnout v řadě nástrojů, kdy poslední část IP adresy je odstraněna a analytický skript tak nemá k dispozici kompletní údaj o návštěvníkovi stránek. Je ale nezbytné dávat pozor na geografickou lokalitu, kde k anonymizaci dochází. Google nedávno spustil adresy region1. google-analytics.com a region1.analytics. google.com pro sběr analytických dat skrz servery v EU, což by tento problém mělo řešit.

Problematika ochrany osobních údajů na sociálních sítí

Zpracování osobních údajů na sociálních sítích (Facebook, Instagram, LinkedIn) je z mnoha pohledů problematické a velmi často dochází k porušování zásad GDPR.

Při použití osobních údajů ze sociálních sítí je nezbytné dbát zejména na tato doporučení:

  • Zpracování osobních údajů ze sociální sítě musí být pokryto některým z legitimních účelů zpracování dle Nařízení GDPR.
  • Osobní údaje ze sociální sítě musí být získány na základě některého z platných titulů Nařízení GDPR (jedná-li se o souhlas, musí být proveden zcela jasným a konkrétním úkonem v souladu se zásadou OPT-IN).
  • Subjekt údajů musí být řádně informován.
  • Použití osobních údajů ze sociální sítě by mělo být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou data zpracovávána.
  • Po celou dobu musí být data zpracovávána způsobem, který zajistí náležité zabezpečení osobních údajů. Data musí být uložena pouze po nezbytně nutnou dobu jejich zpracování.

Využívání obrazových dat uložených na cloudu k trénování umělé inteligence

V současné době většina uživatelů využívá cloudové služby pro ukládání obrazových dat (fotografií, ilustrací, videí) a textových souborů. Mnoho uživatelů bohužel nevnímá, že využíváním cloudových služeb s sebou přináší i ztrátu kontroly nad svými daty. Např. společnost Adobe využívá data na cloudu k trénování umělé inteligence (AI) – uživatelé Adobe v podmínkách služby Creative Cloud mohou odsouhlasit používání obsahu uloženého na cloudové službě k trénování algoritmů umělé inteligence. Toto se týká pouze dat na cloudu, pokud uživatel v aplikacích Adobe zpracovává lokálně uložená data, toto využití se ho netýká.

Společnost Adobe byla kritizována za to, že o tomto sdílení dat uživatele dostatečně neinformuje (informace o využívání uložených obrazových a textových dat je dostupná přes nastavení účtu), a že ve výchozím nastavení je tato volba povolená a nikoli naopak.

Zveřejnění účetní závěrky ve sbírce listin v anonymizované verzi

K často porušované povinnosti patří povinnost založit účetní závěrku do sbírky listin. Společnosti mají dle zákona č. 304/2013 Sb., o veřejných rejstřících právnických a fyzických osob, povinnost založit účetní závěrku do sbírky listin do 30 dnů od schválení účetní závěrky nejvyšším orgánem společnosti a zároveň nejpozději do 12 měsíců od rozvahového dne (v rámci standardního účetního roku je nejzazším termínem pro založení účetní závěrky 31.12.).

Mnohé společnosti nechtějí vkládat účetní závěrku do sbírky listin z důvodu citlivých údajů obsažených v účetní závěrce a/nebo z důvodu toho, že zveřejněním některých údajů nechtějí poskytnout výhodu konkurenci. Za nezveřejnění účetní závěrky ve sbírce listin může ale společnost obdržet pokutu až ve výši 3 % z netto hodnoty aktiv.

Problematikou zveřejňování účetních závěrek ve sbírce listin se vloni zabýval i nejvyšší soud – dle jeho rozhodnutí (viz usnesení sp. zn. 27 Cdo 2536/2021) mají společnosti povinnost zakládat účetní závěrky do sbírky listin, ale vybrané citlivé údaje mohou anonymizovat z důvodu ochrany svých zájmů. Při anonymizaci účetní závěrky musí být společnost připravena odůvodnit, proč by jí zveřejnění konkrétního údaje mohlo přivodit újmu.

Zpracování osobních údajů v Katastru nemovitostí

Právním důvodem pro zpracování osobních údajů v Katastru nemovitostí je zákon č. 256/2013 Sb., o katastru nemovitostí (katastrální zákon). Ten také definuje rozsah zpracovávaných osobních údajů a to včetně rodného čísla vlastníka nemovitosti. Rodná čísla mohou obsahovat také dokumenty, na jejichž základě jsou do Katastru nemovitostí zapisována práva či povinnosti právního subjektu ve vztahu k nemovité věci. Tyto dokumenty jsou evidovány ve sbírce listin, přičemž tato sbírka je součástí Katastru nemovitostí.

Katastr nemovitostí je veřejným seznamem, do kterého je v zásadě kdokoliv oprávněn nahlížet, pořizovat si z něj pro svou potřebu opisy, výpisy nebo náčrty a získávat z něj údaje ze sbírky listin, pokud není stanoveno jinak. Přístup k některým informacím je podmíněn identifikací zájemce o informace a je formálně upraven. Tedy i zpřístupňování rodných čísel je výkonem veřejné moci prováděným na právním základě dle GDPR, tj. bez souhlasu nositele rodného čísla.

Obecně jsou informace, které obsahuje Katastr nemovitostí veřejně přístupné z titulu zásady publicity, tedy veřejné kontroly obsahové a věcné správnosti informací v Katastru evidovaných. S informacemi získanými z Katastru nemovitostí však nelze nakládat jinak než k naplnění účelů uvedených v katastrálním zákoně, a to bez ohledu na to, zda tyto informace mají charakter osobních údajů či nikoliv.

Užití a šíření informací získaných z Katastru nemovitostí v rozporu s katastrálním zákonem může být posouzeno jako správní delikt, který projednává v prvním stupni Katastrální úřad. Pokud použití rodného čísla nestanoví zákon, nemůže osoba, která rodné číslo z Katastru nemovitostí získala, s tímto rodným číslem bez souhlasu jeho nositele nakládat.

Nakládání s rodným číslem jiné osoby v rozporu se zákonem o evidenci obyvatel fyzickou osobou může být posouzeno jako správní delikt, který projednává obec s rozšířenou působností. Neoprávněné nakládání s rodným číslem právnickou osobou projednává Úřad pro ochranu osobních údajů.

Použití listiny, která rodné číslo obsahuje, není nakládání přímo s rodným číslem. Je-li listina získaná z Katastru nemovitostí použita za legitimním účelem, nejde o neoprávněné nakládání s rodným číslem.

Zpracování telefonních čísel a e-mailových adres

Veřejné úřady v rámci státní správy i samosprávy, školská zařízení apod. mohou v souladu s GDPR zpracovávat pouze takové osobní údaje, které jsou nezbytné pro plnění svěřených agend a jako takové jsou většinou zákonem výslovně stanoveny.

Co se týče kontaktních údajů typu mobilního čísla či e-mailu, zpravidla slouží tyto údaje k urychlení kontaktu s občanem v rámci vyřizování věci. Pokud veřejné úřady či samospráva umožní občanovi v rámci vyřizování jeho věci spolu s adresou sdělit nepovinně i další kontaktní údaje, nejde o porušení zásady minimalizace a takové osobní údaje lze zpracovávat, tj. neaplikuje se souhlas.

Neuvedení nepovinných kontaktních údajů (telefonní číslo, e-mail) nesmí být překážkou učinění podání či přístupu občana k orgánu veřejné moci.

Monitorování okolí skládky obcí

Monitoring úzce vymezené části veřejného prostranství, kde jsou umístěny kontejnery na odpad či monitoring části pozemků s černými skládkami, je věcí veřejného pořádku i oprávněnou ochranou majetku obce.

Je však nezbytné o takovém zpracování osobních údajů informovat subjekty údajů a omezit jejich užití výlučně pro projednání přestupku a náhrady způsobené škody, nikoliv svévolného zveřejnění, např. na internetu.

Nadbytečné vyžadování souhlasu

Zpracování osobních údajů musí být podloženo vždy vhodným právním důvodem, mezi které lze zařadit i souhlas subjektu údajů. Tento právní důvod však není v mnoha případech tím nejvhodnějším, neboť nejčastěji dochází ke zpracování osobních údajů na základě jiných právních důvodů – zákonné povinnosti, plnění uzavřené smlouvy nebo oprávněného zájmu správce.

Pokud správce osobních údajů v agendách, jejichž výkon je založen na jiném právním důvodu, vyžaduje souhlas subjektů údajů se zpracováním osobních údajů, dopouští se porušení GDPR, které je dozorovými orgány často postihováno (viz nejčastější chyby podle Výroční zprávy ÚOOÚ, které jsme Vám zasílali v předchozích newsletterech).

Hlavním důvodem, proč je ve většině případů souhlas nevhodným právním důvodem je skutečnost, že souhlas může subjekt údajů kdykoliv odvolat a správce je následně povinen osobní údaje vymazat. Pokud by takový výmaz znemožnil výkon Vašich zákonných povinností (např. vedení účetnictví, vymáhání pohledávek, vedení matriky, plnění uzavřené smlouvy apod.), jedná se jednoznačně o nevhodný právní důvod.

Dříve než se rozhodnete zahájit zpracování osobních údajů na základě právního důvodu souhlas, posuďte, zda neexistuje jiný, vhodnější právní důvod pro takové zpracování. Ve valné většině případů budete úspěšní.

V případě Vašeho zájmu jsme připraveni pro Vás realizovat školení principů ochrany osobních údajů na míru Vaší organizace. S požadavkem na školení se prosím obraťte na equica@equica.cz.

Zveřejňování majetkových oznámení zastupitelů obcí

Ústavní soud vyhověl stížnostem 43 zastupitelů, kteří žádali odškodnění a omluvu za neomezené zpřístupňování jejich majetkových oznámení v části roku 2020. Podle aktuálního nálezu Ministerstvo spravedlnosti ponechávalo majetková oznámení plošně zpřístupněná déle, než mělo.

Uplatněné nároky vycházejí ze staršího nálezu Ústavního soudu, který na jaře 2020 zachoval povinnost komunálních politiků podávat oznámení o majetkových poměrech, zároveň ale zrušil tehdejší rozsah nahlížení do centrálního registru oznámení.

Podle nálezu postačí zpřístupňovat údaje na základě žádosti, volné nahlížení přes internet porušuje právo na soukromí veřejných funkcionářů.

Zveřejnění osobních údajů poslanců PSP ČR

Hnutí PES letos v únoru zveřejnilo na Facebooku adresy 70 poslanců PSP ČR, i když k tomu nedisponovalo žádným právním důvodem ani neprovedlo dostatečné informování subjektů údajů (poslanců) o takovém zveřejnění. Porušilo tím pravidla ochrany osobních údajů a byla proto zahájena kontrola Úřadem pro ochranu osobních údajů.

Zveřejnění parte na webových stránkách

Jelikož údaje o zemřelých nejsou osobní údaje, docházejí někteří správci osobních údajů k závěru, že informaci o úmrtí osoby, ať již formou textu, nebo zveřejněním parte, lze považovat za oprávněné. Při zveřejnění informace o úmrtí však může dojít k poškození práv pozůstalých, proto k takovému zveřejnění doporučujeme disponovat souhlasem pozůstalých, případně zveřejňovat informace na jejich žádost.

Dezinformační weby, marketing a cookies

Díky kontroverznímu obsahu a specifické cílové skupině dokáží dezinformační weby generovat zisky z příjmů za reklamy. K tomu využívají cookies, Google Analytics, Google Fonts apod.

Dezinformační weby přitom nerespektují novelu zákona o elektronických komunikacích a postupují při sběru osobních údajů nezákonně, především při ukládání cookies na zařízení svých návštěvníků. Současně dochází k předávání osobních údajů i mimo EU, včetně USA, což s ohledem na zrušení tzv. Privacy Shieldu není obhajitelné.

Úřad pro ochranu osobních údajů má v letošním roce v plánu kontrol také kontroly užívání cookies na českém internetu.

Upozorňujeme na phishingovou kampaň s cílem zneužít bankovní identitu

Národní úřad pro kybernetickou a informační bezpečnost zveřejnil varování před zneužitím bankovní identity:

Upozorňujeme na probíhající phishingovou kampaň s motivem nabídky příspěvku na bydlení od Ministerstva práce a sociálních věcí (dále jen MPSV). Podvodné zprávy se šíří e-mailem nebo SMS zprávami s textem: „Je vám poskytnut příspěvek na bydlení po dobu 3 měsíců od MPSV“ nebo „MPSV informuje v rámci programu bydlení máte k dispozici příspěvek“, spolu s odkazem na stránky věrně napodobující web MPSV. Jazyková kvalita textu zpráv se v různých verzích liší, obecně jde ale o strojový překlad, který lze pozorným čtením odhalit.

Cílem je přesvědčit adresáty k přihlášení na podvodné stránce pomocí bankovní identity. Zadané přihlašovací údaje následně útočníci aktivně využijí k přihlášení do legitimního bankovnictví, čímž dojde k zaslání výzvy pro dvoufázové ověření, kterou v tu chvíli oběť potvrdí.

Kampaň byla poprvé zachycena na začátku srpna a opakuje se v několika vlnách s neustálou obměnou používaných domén, například mpsv-prihlaseni[.]cz, mpcv[.]cz, mpvs-bydleni[.]cz. Sdružení CZ.NIC podniká kroky k blokaci těchto domén.

Doporučujeme věnovat zvýšenou pozornost příchozím zprávám a upozornit na riziko i Vaši rodinu a blízké. V případě přihlašování (zejména k bankovnictví) vždy důsledně prověřujte, zda jde skutečně o legitimní adresu.

Oficiální web pro podání žádosti na příspěvek na bydlení se nachází pouze na adrese https://www.mpsv.cz/web/cz/-/prispevek-na-bydleni. Jakékoliv nové podvodné domény můžete nahlásit na webu StopOnline.cz, provozovaném sdružením CZ.NIC, a případně též Policii ČR.

Rizika (nejen) pro děti na sociální síti Tik Tok

Sociální síti TikTok hrozí stamilionová pokuta za nedostatečnou ochranu soukromí dětských uživatelů. Údajně totiž zpracovávala osobní údaje dětí bez souhlasu rodičů. TikTok nejspíše zpracovával údaje dětí mladších třinácti let bez příslušného souhlasu rodičů; neposkytl svým uživatelům správné informace stručným, transparentním a snadno srozumitelným způsobem a zpracovával údaje zvláštní kategorie, aniž by k tomu byly právní důvody.

Evropský sbor pro ochranu údajů kvůli této nebezpečné sociální sítí zřídil pracovní skupinu, která má prověřit zásady a postupy TikToku při zpracování osobních údajů. Existují totiž podezření, že soukromá data milionů uživatelů míří přímo do Číny. Jen v České republice podle průzkumu Centra PRVok TikTok využívá více než čtvrtina dětí, nejčastěji ve věku 10 – 12 let. Oblíbenost aplikace mezi dětmi už několikrát způsobila rozruch, protože na platformě často probíhá kyberšikana a vyskytují se zde i sexuální predátoři.

Ve Spojených státech už firma ByteDance dostala vzhledem k praktikám při sběru informací o svých dětských uživatelích pokutu ve výši 5,7 milionu dolarů a v současnosti se uvažuje o úplném zákazu aplikace. Na ochranu dat se odkazuje i Indie, která jako důvod zákazu uvedla přeposílání dat do Číny.

Z průzkumu Buď safe online vyplývá, že 52 % respondentů má profil na TikToku, ale až 35 % z nich neví, že jejich profil je ve výchozím nastavení veřejný. Veřejný profil na TikToku umožňuje komukoliv dohledat ostatní uživatele, sledovat jejich obsah a psát jim soukromé zprávy.

Množství informací a dat, které TikTok o svých uživatelích shromažďuje, je ještě vyšší než v případě jiných sociálních sítí. Mezi data, která TikTok monitoruje, patří údaje o zařízení (typ CPU, hardware ID, místo na disku, využití paměti, …), údaje o dalších nainstalovaných aplikacích (včetně těch již smazaných), síťové informace (IP a MAC adresy zařízení a routeru, název WiFi), jestli je zařízení spuštěné s rootovskými oprávněními, pravidelný GPS ping.

TikTok má dále podle dostupných informací přístup k obsahu schránky uživatele na iOS zařízeních. Značí to potencionální problém pro každého, kdo používá jakýkoliv správce hesel pro přihlášení k účtům.

Varování ÚOOÚ před novými kybernetickými hrozbami

Úřad pro ochranu osobních údajů na svých webových stránkách zveřejnil varování před novými hrozbami (nejen) pro ochranu osobních údajů. Správci osobních údajů by proto měli provést taková opatření, aby zamezili nebezpečí napadení, a tím i potenciálního porušení zabezpečení osobních údajů.

Pokud k napadení dojde prostřednictvím softwarové aplikace, na jejíž zranitelnost upozornil např. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a správce neučinil doporučené kroky pro zajištění odpovídající ochrany osobních údajů, může to být hodnoceno jako porušení povinností správce, protože varování bylo publikováno před případným kybernetickým napadením.

Národní úřad pro kybernetickou a informační bezpečnost varuje před novou hrozbou phishingových podvodů, tentokrát s motivem nabídky příspěvku na bydlení od Ministerstva práce a sociálních věcí. Cílem je přesvědčit adresáty k přihlášení na podvodné stránce pomocí bankovní identity. Zadané přihlašovací údaje pak útočníci aktivně využijí k přihlášení do legitimního bankovnictví, a tím dojde k odeslání výzvy pro dvoufázové ověření, kterou v tu chvíli oběť potvrdí.

Zároveň s tím byla ze strany NÚKIB indikována závažná zranitelnost pro vzdálené připojení VPN. Zranitelnost CVE-2022-26113 (CVSS 7.5), která se týká vzdáleného připojení klienta do vnitřní sítě. Neprivilegovanému uživateli, který disponuje přístupem ke koncové stanici s VPN klientem od společnosti FortiClient, je umožněno získat práva uživatele SYSTEM.

Zranitelné jsou následující verze klienta pro operační systém Windows:

  • FortiClientWindows verze od 6.0.0 do 6.0.10
  • FortiClientWindows verze od 6.2.0 do 6.2.9
  • FortiClientWindows verze od 6.4.0 do 6.4.7
  • FortiClientWindows verze od 7.0.0 do 7.0.3

Pro mitigaci této zranitelnosti je nutné aktualizovat na FortiClientWindows verze 7.0.4 a vyšší nebo verze 6.4.8 a vyšší.

Nový návrh zákona o ochraně oznamovatelů (whistleblowing)

V současné době je projednáván nový návrh zákona ochrany oznamovatelů – whistleblowerů, který měl být v ČR implementován již k 17. 12. loňského roku v souladu se směrnicí Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. 10. 2019 o ochraně osob, které oznamují porušení práva Unie.

Návrh zákona byl přepracován novou vládou a jeho obsah se tedy od původního (nepřijatého) návrhu zákona značně odlišuje a to především v oblasti definice subjektů, které jsou povinny systém ochrany oznamovatelů zavést. Je možné odhadovat, že zákon by mohl být přijat v lednu příštího roku s odloženou účinností k 1. červenci 2023.

Návrh zákona upravil definici subjektů, které jsou povinny zavést vnitřní oznamovací systém, a tím zúžil okruh povinných subjektů takto:

  • Vnitřní oznamovací systém zavede povinný subjekt, kterým se pro účely tohoto zákona rozumí:
    • veřejný zadavatel podle zákona upravujícího zadávání veřejných zakázek
      • s výjimkou příspěvkové organizace územního samosprávného celku zaměstnávající v uplynulém kalendářním čtvrtletí v průměru méně než 50 zaměstnanců a
      • s výjimkou obce s méně než 10 000 obyvateli;
    • zaměstnavatel, který v uplynulém kalendářním čtvrtletí zaměstnával v průměru nejméně 50 zaměstnanců;
    • další subjekty definované zákonem.
  • Povinné subjekty, s výjimkou veřejných zadavatelů, které v uplynulém kalendářním čtvrtletí zaměstnávaly v průměru nejvíce 249 zaměstnanců, mohou vnitřní oznamovací systém sdílet. Obce, které jsou povinnými subjekty, mohou vnitřní oznamovací systém sdílet mezi sebou.
  • Byl vypuštěn požadavek na zavedení vnitřního oznamovacího systému pro obce s rozšířenou působností bez ohledu na počet obyvatel, nově se tedy povinnost bude vztahovat pouze na ORP s více než 10.000 obyvateli.
  • Povinný subjekt bude mít dále možnost rozhodnout, zda bude přijímat anonymní oznámení.

Novela zákona o kybernetické bezpečnosti

6. srpna 2022 nabyl účinnosti zákon, kterým se mění zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů. Ve Sbírce zákonů byl publikován pod č. 226/2022 Sb.

Novela byla přijata za účelem zajištění adaptace českého právního řádu na evropské nařízení 2019/881 o agentuře ENISA (Agentura Evropské unie pro kybernetickou bezpečnost) a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií.

Novela stanoví vnitrostátní orgán certifikace kybernetické bezpečnosti, kterým určuje Národní úřad pro kybernetickou a informační bezpečnost. Své úpravy dochází rovněž oblast správního trestání v podobě sankcí za porušení aktu o kybernetické bezpečnosti.

Kopírování osobních dokladů cizích státních příslušníků

Na základě podnětu osoby zastupující cizí státní příslušníky ve správním řízení o vstupu a pobytu cizinců na území České republiky jsme vznesli dotaz na Odbor azylové a migrační politiky Ministerstva vnitra ČR. Žádali jsme vysvětlení právního důvodu pro pořizování kopií cestovních dokladů cizinců a kopií občanského průkazu občana ČR, který cizince v řízení zastupuje. Poskytnutou informaci uvádíme níže.

  • Odbor azylové a migrační politiky Ministerstva vnitra, jakožto správní orgán, který podle § 165 zákona č. 326/1999 Sb., o pobytu cizinců na území ČR a o změně některých zákonů vykonává působnost ve věcech vstupu a pobytu cizinců na území a jejich vycestování z území, v rámci vedených správních řízení shromažďuje osobní údaje fyzických osob, které jsou účastníkem řízení (resp. svědkem), nebo které byli přítomny nějakému úkonu (např. pobytové kontroly) v rozsahu, který je potřebný k vedení konkrétního správního řízení. Při zpracování osobních údajů postupuje Odbor azylové a migrační politiky v souladu s Nařízením GDPR, tedy osobní údaje zpracovává pouze tehdy, pokud je to nezbytné pro splnění právní povinnosti, která se na správce vztahuje.
  • K otázce kopírování cestovních dokladů dále uvádíme, že zákon č. 326/1999 Sb. stanoví jako povinnou náležitost většiny žádostí o vydání pobytového oprávnění (např. § 31 odst. 1 písm. a), § 70 odst. 2 písm. b), § 87a odst. 2 písm. a) zákona č. 326/1999 Sb.) předložení cestovního dokladu, který následně slouží jako jeden z podkladů pro vydání rozhodnutí. Samozřejmě vzhledem k charakteru tohoto dokladu není možné, aby se originál předkládaného cestovního dokladu stal součástí spisu, neboť by to pro žadatele představovalo značné komplikace. Z tohoto důvodu je tedy pořizována kopie cestovního dokladu žadatele – cizince, kterou je správní orgán oprávněn pořídit i bez souhlasu osoby, které byl tento cestovní doklad vydán. Na rozdíl od dokladů vydaných občanům České republiky se totiž v případě cizozemských cestovních dokladů (dokladů vydaných cizím státem) neuplatní omezení stanovená např. v § 2 odst. 3 zákona č. 329/1999 Sb., o cestovních dokladech, resp. v § 39 písm. c) zákona č. 269/2021, o občanských průkazech, která zakazují pořizování kopií dokladů bez souhlasu jejich držitele.
  • Ohledně kopírování (českého) občanského průkazu nebo cestovního pasu osoby, která v rámci probíhajícího řízení vystupuje např. jako zástupce a nikoliv jako účastník řízení (svědek) uvádíme, že obvykle není nutné tuto kopii pořizovat, neboť není vyžadována jako náležitost žádosti o vydání pobytového oprávnění (tím není dotčena povinnost stanovená v § 36 odst. 5 zákona č. 500/2004 Sb., správní řád, prokázat na výzvu oprávněné úřední osoby svoji totožnost předložením průkazu totožnosti). Pokud by přesto k pořízení fotokopie takového dokladu docházelo (např. jako důkazní prostředek v rámci žádosti o vydání povolení k pobytu rodinného příslušníka občana EU), je v případě českých dokladů nutno postupovat v souladu s výše uvedenými právními předpisy, tzn. kopii dokladu je možné pořídit pouze se souhlasem jeho držitele.

Souhlas s uložením cookies

Úřad pro ochranu osobních údajů se vyjádřil k době uložení souhlasu s ukládáním cookies a době opakovaného požadavku na udělení souhlasu v případě jeho předchozího odmítnutí.

  • Dobu, po kterou je platně udělen souhlas se zpracováním osobních údajů prostřednictvím cookies i dobu pro opětovné zobrazení cookie lišty v případě odmítnutí, musí stanovit správce s ohledem na účel, ke kterému jsou osobní údaje zpracovávány současně s ohledem na očekávání subjektů údajů.
  • Opětovné zobrazování cookie lišty by nemělo narušovat činnosti uživatele při používání webové stránky, ať už souhlas udělil či odmítl udělit.
  • Obecně lze za přiměřenou dobu, na kterou byl souhlas s využíváním cookies udělen, považovat 12 měsíců.
  • V případě, že uživatel odmítl souhlas udělit, nemělo by být jeho udělení znovu vyžadováno alespoň 6 měsíců od posledního zobrazení cookie lišty.
  • Tato doba může být kratší, pokud se významně změnila jedna nebo více okolností zpracování, nebo pokud provozovatel není schopen sledovat předchozí souhlas / nesouhlas (např. uživatel smazal cookies uložené ve svém zařízení).

Dojde-li k významné změně zpracování, která by měla vliv i na uživatele, kteří dříve souhlas se zpracováním osobních údajů udělili, bude nezbytné znovu požádat o udělení souhlasu s tímto novým zpracováním i tyto uživatele.

Instagram porušoval GDPR u dětí

Irský úřad Data Protection Commissioner (DPC) vyměřil společnosti Meta a její sociální síti Instagram pokutu ve výši 405 mil. EUR (cca 10 mld. Kč) za porušení pravidel ochrany osobních údajů dětí, tedy uživatelů ve věku mezi 13 až 17 lety.

Děti si mohly zřídit tzv. účet tvůrce nebo firmy, čímž se dala obejít omezení klasických dětských účtů. Ty jsou ve výchozím nastavení soukromé, takže jejich příspěvky mohou vidět jen vybraní lidé, které znají, a navíc jim dospělí, kteří je nemají ve sledujících, nemohou posílat zprávy.

V případě firemních účtů a účtů pro tvůrce toto omezení neplatí a mohou s neznámými lidmi sdílet mnohem více informací včetně telefonních čísel nebo e-mailových adres.

Obezřetnost při zveřejňování fotografií na sociálních sítích

Americká společnost Clearview AI vytváří databázi fotografií obličejů za účelem rozpoznávání konkrétních osob. Fotografie v databázi společnost získává bez souhlasu dotčených subjektů údajů, neboť využívá veřejně dostupné fotografie včetně informací, na základě kterých lze osoby na fotografiích identifikovat.

Sdílením fotografií na Facebooku, Instagramu a dalších platformách se každý vystavuje riziku, že osobní údaje jeho nebo jeho rodinných příslušníků budou zahrnuty do databáze Clearview AI (jak fotografie, tak související dostupné osobní údaje). Jelikož databáze zpracovává fotografie do biometrických parametrů obličeje, dokáže následně rozpoznávat konkrétní osobu na dalších fotografiích nebo kamerových záznamech.

Společnost Clearview AI měla shromáždit po celém světě více než 20 miliard snímků obličejů pro svou databázi bez vědomí dotčených osob. Společnost ClearView AI současně nabízí placenou aplikaci, do které lze nahrát fotografii zájmové osoby a sledovat její pohyb díky celosvětovému napojení na bezpečnostní kamerové systémy.

K takovému zpracování však společnost Clearview Al nedisponuje právním důvodem, proto v poslední době probíhá řada soudních případů, ve kterých jsou po celém světě udělovány společnosti pokuty a nařizována nápravná opatření, jakými jsou např. zákaz dalšího získávání údajů o obyvatelích toho kterého konkrétního státu a výmaz veškerých shromážděných dat.

Společnosti jako Twitter, Google a Meta již společnosti Clearview AI zaslaly žádost o zastavení činnosti, kterou porušuje jejich obchodní podmínky.

Souhlas se zpracováním osobních údajů udělený dítětem

Děti zasluhují vyšší míru ochrany, jelikož si mohou být méně vědomy rizik, důsledků, záruk a svých práv v souvislosti se zpracováním osobních údajů. Proto Nařízení GDPR vytváří další vrstvu ochrany, pokud jsou zpracovávány osobní údaje dětí. Ta se vztahuje zejména na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních či uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem.

Pro udělení souhlasu se zpracováním osobních údajů je proto využíván tzv. rodičovský souhlas, tedy souhlas udělený zákonným zástupcem, soudem ustanoveným opatrovníkem či jinou osobou, která vykonává rodičovskou zodpovědnost k dítěti, tedy podle předpisů stanovujících požadavky na věk při jednání člověka (§ 31 zákona č. 89/2012 Sb., občanský zákoník).

Výjimku tvoří souhlas se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti (laicky řečeno „služby spojené s užíváním internetu“ – tzv. „on-line souhlas“ nebo „digitální souhlas“). Jedná se o jakoukoliv službu informační společnosti, která je poskytovaná zpravidla za úplatu, na dálku, elektronicky a na individuální žádost příjemce služeb:

  • služba poskytovaná na dálku – služba poskytovaná bez současné přítomnosti stran;
  • služba poskytovaná elektronicky – služba odeslaná z výchozího místa a přijatá v místě jejího určení prostřednictvím elektronického zařízení pro zpracování (včetně digitální komprese) a uchovávání dat a jako celek odeslaná, přenesená nebo přijatá drátově, rádiově, opticky nebo jinými elektromagnetickými prostředky;
  • služba poskytovaná na individuální žádost příjemce služeb – služba poskytovaná přenosem dat na individuální žádost.

Souhlas se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti je zákonný, je-li dítě ve věku nejméně 15 let, u mladších osob je zpracování jejich údajů možné jen se souhlasem osoby, která vykonává k dítěti rodičovskou zodpovědnost.

Pokud správce oslovuje s nabídkou děti, musí věnovat zvláštní pozornost formě, jakou je informuje o zpracování jejich osobních údajů. Informace musí být sdělena srozumitelně, v jazyce, který je pro děti jasný a jednoduchý. Pokud má souhlas udělit rodič, měl by dostat takové informace, které mu umožní přijmout informované rozhodnutí.

Pokud správce poskytuje služby informační společnosti dětem na základě souhlasu, bude se od něj očekávat, že vynaloží přiměřené úsilí, aby ověřil, že je uživatel starší, než je nezbytné pro „on-line souhlas“, tzn., že je mu víc jak 15 let. Opatření, která k tomu využije, by měla být přiměřená povaze a rizikům činností zpracování.

Souhlas rodiče nebo zákonného zástupce není nutný v případě preventivních či poradenských služeb nabízených přímo dětem. Předchozí souhlas rodičů tak nebude vyžadovat např. poskytování služeb ochrany dětí nabízených dětem on-line prostřednictvím on-line chatových služeb atp.

Jakmile dítě dosáhne věku pro udělení digitálního souhlasu, může souhlas udělený nebo schválený rodičem či zákonným zástupcem samo odvolat, změnit nebo potvrdit. Správce ho musí o této skutečnosti informovat v souladu se zásadou korektnosti a odpovědnosti. Pokud však dítě neučiní žádný aktivní projev, zůstane původní souhlas schválený rodičem v platnosti i nadále a pro správce je platným základem pro zpracování osobních údajů.

V případě, že se jedná o zpracování osobních údajů žáků školou jakožto správcem, Ministerstvo školství, mládeže a tělovýchovy ČR vydalo následující stanovisko:

  • Ministerstvo v této souvislosti rovněž důrazně doporučuje, aby bylo ke každému dítěti přistupováno jednotlivě a vždy bylo detailně posuzováno, k jakému zpracování dítě dává souhlas, a to i v případě, že dítě již dosáhlo věkové hranice, kterou předvídá vnitrostátní legislativa pro to, aby dítě bylo schopno samo vyslovit souhlas se zpracováním svých osobních údajů. Vždy je třeba vzít v potaz nejen věk, ale i rozumovou a volní vyspělost dítěte, tedy zda je dítě schopno posoudit podstatu a následky svého vlastního jednání a zda je schopno své jednání ovládnout, tj. jednání svou vůlí řídit.
  • Zvláštní pozornost je třeba věnovat dětem se speciálními vzdělávacími potřebami, tedy se zdravotním postižením či zdravotním nebo sociálním znevýhodněním. Zároveň je třeba rovněž doporučit, že v případě jakýchkoliv pochybností ohledně schopnosti dítěte posoudit důsledky svého jednání je namístě vyžádat si souhlas osoby, která ve vztahu k dítěti vykonává rodičovskou odpovědnost.
  • Jestliže dítě dává škole souhlas na základě předtištěného vzoru, je třeba formulovat tento souhlas pro dítě co nejsrozumitelněji, aby pochopilo, k čemu přesně souhlas dává.

Nejčastější nedostatky cookies lišt podle ÚOOÚ – doplnění

V návaznosti na další dotazy k minule uvedenému seznamu nejčastějších chyb při používání cookies lišty uvádíme podrobnější vysvětlení jednotlivých nedostatků:

  • Používání netechnických cookies bez souhlasu – bez souhlasu lze podle zákona o elektronických komunikacích zpracovávat pouze technické (nezbytné) cookies, tedy ty, bez kterých webové stránky nemohou fungovat – zabezpečení, řádné zobrazování na počítači nebo na mobilním telefonu, vyplňování a odesílání formulářů apod. Všechny ostatní cookies lze zpracovávat pouze se souhlasem uživatele.
  • Neúměrně dlouhá doba platnosti cookies vzhledem k jejich účelu – uchovávání cookies je možné pouze po dobu, která je nezbytná pro dosažení účelu zpracování. Vždy je tedy nutné objektivně stanovit nezbytnou lhůtu pro uchovávání (např. nelze uchovávat po neomezenou dobu, ani po dobu, kterou nelze objektivně zdůvodnit). Obecně lze za přiměřenou dobu, na kterou byl souhlas s využíváním cookies udělen, považovat 12 měsíců. V případě, že uživatel odmítl souhlas udělit, nemělo by být jeho udělení znovu vyžadováno alespoň 6 měsíců od posledního zobrazení cookie lišty.
  • Nepřítomnost volby určené pro vyjádření nesouhlasu s využitím netechnických cookies v první vrstvě cookies lišty – pokud nelze již v první cookies liště odmítnou cookies a pro odmítnutí je nutné klikat do dalších „vrstev“ cookies lišty, jedná se o neplatný souhlas podle Nařízení GDPR. Lišta musí již v první „vrstvě“ umožnit obě volby – souhlas i odmítnutí všech cookies.
  • Špatná kategorizace cookies – jako nezbytné cookies jsou označeny cookies, které tuto definici nenaplňují (nejsou nezbytné pro správné fungování), a cookies lišta neumožňuje jejich odmítnutí.
  • Absence informací o konkrétních použitých cookies – neplnění informační povinnosti podle článku 13 Nařízení GDPR tím, že neposkytuje informaci o konkrétních používaných cookies (může být již v další „vrstvě“ cookies lišty).
  • Rozdíl ve viditelnosti tlačítek pro souhlas a nesouhlas s využitím netechnických cookies – nepřehledně navržená tlačítka navádějící k udělení souhlasu (např. zelené tlačítko pro souhlas a šedivé, malé, špatně viditelné tlačítko pro odmítnutí souhlasu).
  • Informace o cookies v cizím jazyce – převzetí cookies lišty v (nejčastěji) anglickém jazyce bez lokalizace do českého jazyka znemožňuje návštěvníkovi udělit informovaný souhlas s použitím cookies.
  • Cookies lišta znesnadňuje či znemožňuje čtení webové stránky – lišta překrývá text stránky a znepříjemňuje nebo znemožňuje čtení. Z recitálu 32 Nařízení GDPR vyplývá, že má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, nesmí tato žádost narušit využívání služby.

Pořizování souhlasů se zasíláním novinek

Zpracování e-mailových adres uživatelů za účelem rozesílání newsletterů a jimi podobných e-mailů je možný pouze s předchozím souhlasem subjektů údajů. Udělení souhlasu musí být transparentní a informované.

Správce musí vždy poskytnout informace o tom, jak bude s osobními údaji nakládáno, kdo je správcem osobních údajů, kdo je zpracovává a po jakou dobu bude s osobními údaji pracovat. Dále je nutné stručně a srozumitelně informovat o právech dle Nařízení GDPR.

Souhlas nesmí být nikdy vynucený ani podmíněný, např. výměnou za určitou službu, např. udělení slevy za souhlas čtenáře k odběru novinek. Zvýhodněná služba totiž musí být pro uživatele dostupná i jinou variantou. Tedy takto shromážděné e-maily bude možné využít, pouze pokud bude umožněna volba mezi více variantami získání služby, např. využití aplikace za poplatek, nebo zdarma s předáním e-mailu s možností dalšího zasílání novinek.

Výjimku tvoří případy, kdy se rozesílání novinek opírá o tzv. oprávněný zájem přímého marketingu, který je však aplikovatelný pouze v případě, že subjekt údajů byl v minulosti zákazníkem správce osobních údajů a zároveň neodebral souhlas se zpracováním osobních údajů.

Možnost odebrání souhlasu musí být zároveň uvedena v každém z rozesílaných obchodních sdělení.

Doručování písemností na úřední desce

Úřad pro ochranu osobních údajů zveřejnil stanovisko k doručování písemností na úřední desce:

  • Doručování veřejnou vyhláškou ve smyslu § 25 zákona č. 500/2004 Sb., správní řád, lze provést dvěma způsoby, a to vyvěšením písemnosti, nebo vyvěšením pouhého oznámení o možnosti převzít písemnost, na úřední desce správního orgánu, který písemnost doručuje. Při volbě mezi těmito dvěma možnostmi je nezbytné zohlednit účel zveřejnění písemnosti a skutečnost, zda písemnost obsahuje osobní údaje.
  • Jelikož správní řád nestanoví konkrétní kritéria pro volbu daného způsobu, správní orgán musí při plnění povinnosti vyvěsit písemnost nebo oznámení zvážit okolnosti konkrétního případu a obsah doručované písemnosti. Zveřejnění oznámení o možnosti převzít písemnost tak např. není možné realizovat v případě, kdy je doručováno neznámým adresátům, jejichž totožnost není známa a jsou určeni jinou vlastností (např. majitelé určitých věcí), avšak v případě, kdy je doručováno konkrétní známé fyzické osobě, lze tuto osobu jasně identifikovat a využít variantu zveřejnění oznámení o možnosti převzít písemnost. V rámci tohoto oznámení pak lze zveřejnit pouze osobní údaje nezbytné pro identifikaci adresáta, nadto je šetřeno adresátovo právo na ochranu soukromí, kdy nejsou zveřejňovány podrobnosti v dané písemnosti obsažené. Samotné posouzení, zda na úřední desce bude vyvěšena předmětná písemnost v úplném znění, či jen oznámení o možnosti tuto písemnost převzít, je plněním povinnosti správce osobních údajů (zde úřadu / orgánu vyvěšujícího listinu / informaci) podle základních zásad zpracování osobních údajů dle čl. 5 odst. 1 GDPR.
  • Správce osobních údajů je též povinen přijmout adekvátní kroky, aby zabránil případnému nedůvodnému šíření osobních údajů, a to s ohledem na znění čl. 32 odst. 1 GDPR. V důvodných případech, zejména je-li při doručování veřejnou vyhláškou zpřístupňována listina v úplném znění, je nezbytné, aby správce osobních údajů provedl příslušné kroky k zajištění zamezení indexování elektronické úřední desky. Listiny zveřejněné prostřednictvím elektronické úřední desky obsahují osobní údaje, které bez zamezení indexování příslušných webových stránek, respektive jejich ukládání do cache internetového vyhledávače, zůstávají při použití internetových vyhledávačů a webových archivů přístupné i určitou dobu poté, co byly z elektronické desky odstraněny. Jsou-li osobní údaje po uplynutí doby, po kterou měly být listiny způsobem umožňujícím dálkový přístup zveřejněny, dále přístupné v podstatě neomezenému okruhu osob, jde o nežádoucí stav, kterému je správce osobních údajů povinen pokusit se předejít. Postup obecného zákazu indexování lze tak v tomto a obdobných případech považovat za standardní opatření na straně správce osobních údajů.

Zpracování zdravotnických dat pro vědecké účely

Zpracování osobních údajů ve zdravotnictví se řídí zákonem o zdravotních službách, který ukládá poskytovatelům zdravotních služeb povinnost vést a uchovávat zdravotnickou dokumentaci. Podle Nařízení GDPR se jedná o zpracování tzv. zvláštních kategorií osobních údajů, jejichž zpracování je až na výjimky zakázáno (zde je výjimka stanovena zákonem o poskytování zdravotních služeb, avšak pouze za účelem vedení zdravotnické dokumentace a poskytování zdravotních služeb, nikoliv za účelem vědeckého výzkumu).

Pokud poskytovatel zdravotních služeb shromáždí pacientská data za účelem plnění své právní povinnosti, může o tento právní základ opřít i následné slučitelné zpracování pro vědecké účely. Vycházet může i z čl. 5 odst. 1 písm. b) Nařízení GDPR, podle kterého se další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nepovažuje za neslučitelné s původními účely.

Poskytovatelé zdravotních služeb, kteří shromáždili pacientská data za účelem poskytováním zdravotních služeb, mohou tato data zpracovávat i pro účely vědeckého výzkumu, a to bez toho, že by k takovému navazujícímu vědeckému zpracování získali zvláštní souhlas dotčených pacientů, pokud:

  • informují pacienty o zpracování pacientských dat pro účely vědeckého výzkumu a o právním základu takového zpracování;
  • zavedou vhodná technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů (především jejich anonymizace a pseudonymizace) a zohlednění různě pravděpodobných a závažných rizik zpracování pro práva a svobody fyzických osob.

Údaje vedené v osobním spisu zaměstnance

Zaměstnavatel je povinen zpracovávat osobní údaje svých zaměstnanců nejen na základě Nařízení GDPR, ale také na základě zákona č. 262/2006 Sb., zákoník práce. Zákoník práce obsahuje relevantní ustanovení upravující problematiku zpracování osobních údajů zaměstnanců. Dle zákoníku práce zaměstnavatel nesmí od svých zaměstnanců vyžadovat informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovně-právním vztahem, tj. informace o sexuální orientaci, původu, členství v odborové organizaci, členství v politických stranách nebo hnutích, příslušnosti k církvi nebo náboženské společnosti.

V rámci osobního spisu zaměstnance zaměstnavatel ve většině případech shromažďuje následující:

  • Osobní údaje zaměstnance: osobní dotazník; kopie dokladu o nejvyšším dosaženém vzdělání, absolvovaných kurzech a školeních; lékařské posudky vydané poskytovatelem pracovně-lékařských služeb; zápočtový list – potvrzení o zaměstnání od předchozího zaměstnavatele; pracovní posudek od předchozího zaměstnavatele; výpis z rejstříku trestů – náhled (poznámka: pouze tehdy existuje-li věcný důvod spočívající v povaze práce, nebo pokud tak stanoví zákoník práce či zvláštní předpis); doklady prokazující splnění předpokladů / požadavků pro výkon práce.
  • Smlouvy: pracovní smlouva (vč. dodatků) / dohoda o pracovní činnosti / dohoda o provedení práce; mzdový / platový výměr; dohoda o odpovědnosti zaměstnance za svěřené hodnoty; dohoda o odpovědnosti za ztrátu svěřených věcí; dohoda o srážkách ze mzdy a další dohody jako např. kvalifikační dohody, dohody o mlčenlivosti, konkurenční doložka, dohoda o home office apod.
  • GDPR: informace o zpracování osobních údajů předaná zaměstnanci; souhlas se zpracováním osobních údajů (je-li relevantní).
  • Dokumenty týkající se pracovního poměru a jeho změn: informace o obsahu pracovního poměru, pracovní náplň a její změny; dokumenty týkající se převedení a přeložení zaměstnance; hodnocení zaměstnance, výtky; informace o překážkách v práci; dokumenty týkající se mateřské / rodičovské dovolené apod.
  • Majetek zaměstnavatele: předávací protokoly k předaným pracovním pomůckám a jinému majetku zaměstnavatele; dohoda o užívání automobilu atd.
  • Bezpečnost a ochrana zdraví při práci: doklad o absolvování referentské zkoušky; doklad o absolvovaném školení BOZP a PO; doklad o předání osobních ochranných prostředků; informace a dokumentace ohledně pracovních úrazů nebo nemocí z povolání.
  • Ukončení pracovního poměru: dokumentace k ukončení pracovního poměru; výstupní dokumentace zaměstnance (zápočtový list, pracovní posudek, evidenční list apod.).

Po zániku pracovního vztahu je zaměstnavatel oprávněn uchovávat osobní údaje bývalého zaměstnance po nezbytně dlouhou dobu (např. evidenční listy 3 roky, záznamy o pojistném na sociální zabezpečení 6 let, mzdové listy 30 let atd.). Důvodem je primárně plnění zákonných lhůt archivace, ale i řešení případných sporů s bývalým zaměstnancem.

Pokud jsou údaje zaměstnance zcela anonymizovány a není je tedy možné spojit s konkrétní osobou zaměstnance, pak se již nejedná o osobní údaj, na který se vztahují zásady ochrany osobních údajů.

Osobní údaje uvedené v osobním dotazníku zaměstnance

Zaměstnavatel má právo s ohledem na uzavřenou pracovní smlouvu / dohodu o pracovní činnosti / dohodu o provedení práce se zaměstnancem a právní povinnosti uložené aktuálně platnou legislativou vyžadovat po zaměstnanci jeho osobní údaje.

V rámci osobního dotazníku zaměstnance zaměstnavatel ve většině případech shromažďuje následující osobní údaje:

  • Identifikační údaje zaměstnance: jméno a příjmení; rodné příjmení; rodné číslo; místo narození; datum narození; státní příslušnost (poznámka: zaměstnavatel nesmí v rámci osobního dotazníku vyžadovat zvláštní osobní údaj „národnost“).
  • Údaje od zaměstnanců – cizinců: pracovní povolení; zaměstnanecká karta; modrá karta; příp. doklad o tom, že pracovní povolení nepotřebuje a proč (občan členského státu EU apod.); kopie dokladů prokazujících oprávněnost pobytu cizince na území ČR; číslo cestovního dokladu a název orgánu, který jej vydal.
  • Kontaktní údaje: telefonní číslo; e-mailová adresa.
  • Bydliště: trvalé bydliště; přechodné bydliště.
  • Vzdělání a kvalifikace: nejvyšší dosažené vzdělání; akademický titul; dokumentace prokazující splnění předpokladů / požadavků pro výkon práce.
  • Údaje potřebné pro ČSSZ a zdravotní pojišťovny: identifikace předešlého zaměstnavatele; informace, zda je zaměstnanec poživatelem invalidního / starobního důchodu; zdravotní pojišťovna.
  • Údaje potřebné k daňovému zvýhodnění zaměstnance: status studenta; OSVČ; rodinný stav; počet dětí.
  • Exekuce a insolvence: pouze tehdy existuje-li věcný důvod spočívající v povaze práce, nebo pokud tak stanoví zákoník práce či zvláštní předpis.
  • Platební a kontaktní údaje: číslo bankovního účtu, na který má být vyplácena mzda.

Osobní údaje uvedené v petici

Úřad / orgán veřejné moci, který obdrží petici, nesmí údaje z petičních archů poskytnout třetím osobám. Třetí osobou je každá osoba kromě autora petice a úřadů, kterým je petice adresována. Jedná se o chráněné osobní údaje osob, které petici podepsaly. Pokud úřad tyto osobní údaje přesto poskytne třetím osobám, jedná v rozporu se zákonem.

Subjekt údajů má v takovém případě právo podat stížnost na Úřad pro ochranu osobních údajů, případně podat žalobu na ochranu osobnosti k soudu a žádat náhradu škody i nemajetkové újmy, nebo podat trestní oznámení Policii nebo státnímu zastupitelství pro zneužití pravomocí úřední osoby.

Osobní údaje uvedené ve věrnostním programu obchodního řetězce

Věrnostní programy patří mezi oblíbené marketingové nástroje obchodních řetězců používané za účelem zajištění retence zákazníků a jejich odměňování za jejich věrnost. Čím více dat o zákaznících obchodní řetězec má, tím lépe dokáže odhadnout a uspokojit potřeby zákazníků.

V rámci věrnostního programu musí obchodní řetězec dodržovat právní úpravu GDPR, tj. zpracovávat osobní údaje subjektů údajů (zákazníků zapojených do věrnostního programu) v souladu se Nařízením GDPR, a to zejména na základě právního titulu „souhlas se zpracováním osobních údajů v souvislosti se členstvím ve věrnostním programu“.

Na základě již provedených kontrol Úřad pro ochranu osobních údajů doporučuje obchodním řetězcům pravidelně kontrolovat z pohledu dodržování Nařízení GDPR prováděné marketingové aktivity včetně definice předmětných pojmů, profilování / segmentace vhodných informací z důvodu budoucích nákupů a informování zákazníků v informační dokumentaci obchodního řetězce, a to zejména z pohledu dodržení právního titulu zpracování osobních údajů, dodržení zásady minimalizace zpracovávaných osobních údajů a transparentnosti jejich zpracování.

Nejčastější chyby při nastavování „cookies lišt“

V souvislosti s legislativní změnou v oblasti cookies (zavedení principu OPT-IN) Úřad pro ochranu osobních údajů průběžně monitoruje dodržování GDPR při zpracování cookies souborů u různých provozovatelů webových portálů a stránek. Činnost ÚOOÚ probíhá nejen na základě obdržených podnětů a stížností, ale také dle definovaného plánu kontrol úřadu pro letošní rok.

ÚOOÚ oslovuje správce, kteří porušují právní předpisy v této oblasti, aby zjednali nápravu. Pokud k ní nedojde, bude ÚOOÚ přistupovat k sankcím, a to především finančního charakteru.

Mezi hlavní nedostatky, které byly zjištěny kontrolami Úřadu pro ochranu osobních údajů, patří:

  • Používání netechnických cookies bez uděleného souhlasu.
  • Neúměrně dlouhá doba platnosti cookies vzhledem k jejich účelu.
  • Nepřítomnost volby určené pro vyjádření nesouhlasu s využitím netechnických cookies v první vrstvě cookies lišty.
  • Špatná kategorizace cookies.
  • Absence informací o konkrétních použitých cookies.
  • Rozdíl ve viditelnosti tlačítek pro souhlas a nesouhlas s využitím netechnických cookies.
  • Nesprávná klasifikace cookies souborů.
  • Informace o cookies v cizím jazyce.
  • Cookies lišta znesnadňuje či znemožňuje čtení webové stránky.

Právní regulace cookies souborů je řešena zákonem č. 127/2005 Sb., o elektronických komunikacích, konkrétně § 89 odst. 3 zákona takto: Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.

Na základě čl. 7 odst. 2 Nařízení GDPR musí být souhlas se zpracováním osobních údajů odlišitelný od jiných skutečností, musí být také srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Podle čl. 4 odst. 11 Nařízení GDPR se musí jednat o „svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů.

Změny v ukládání pokut při porušení Nařízení GDPR

Rozhodnutí o výši pokuty za porušení GDPR je v kompetenci dozorového úřadu (v ČR je to Úřad pro ochranu osobních údajů) – Nařízení GDPR k tomu stanovuje maximální výši pokut, a to až do výše 20 milionů EUR či 4 % celkového ročního obratu celosvětově za předchozí finanční rok. Nařízení GDPR navíc stanovuje, že pokuty za porušení ochrany osobních údajů musí být účinné, přiměřené a odrazující.

Dosavadní praxe dozorových úřadů v Evropské unii při stanovování pokut za porušení Nařízení GDPR není prozatím jednotná, s ohledem na udělené GDPR pokuty některé členské státy EU včetně České republiky „přispívají“ k celkové výši udělených pokut velmi malou měrou. Účelem GDPR je však sjednotit nejen právní úpravu, ale i postup při sankcionování porušení ochrany osobních údajů.

Evropský sbor pro ochranu osobních údajů (EDPB) proto nyní zveřejnil nové stanovisko ke sjednocení postupu při ukládání pokut za porušení Nařízení GDPR. Stanovisko je aktuálně podrobeno veřejné konzultaci, jeho znění tedy může dostát změn. Stanovisko vychází z těchto principů:

  • Při určení výše pokut dozorový orgán přihlíží k okolnostem případu – úmysl či nedbalost subjektu, povaha a závažnost porušení GDPR při zohlednění povahy zpracování osobních údajů, kroky podniknuté po zjištění porušení GDPR (např. okamžité přijetí nápravných opatření) a míra spolupráce s dozorovým úřadem, předchozí porušení GDPR daným subjektem, splnění nápravných opatření uložených dozorovým úřadem apod.
  • Dozorový úřad současně disponuje tzv. nápravnými pravomocemi, které lze aplikovat místo udělení pokuty – upozornění na pravděpodobné porušení GDPR, udělení napomenutí, nařízení vyhovět žádostem subjektů údajů, nařízení uvedení zpracování osobních údajů do souladu s GDPR, uložení omezení či zákazu zpracování osobních údajů, nařízení opravy či výmazu údajů, nařízení přerušení předávání osobních údajů do třetích zemí apod.

Evropský sbor pro ochranu osobních údajů (EDPB) také nedávno zveřejnil k veřejné konzultaci nové pokyny ke kalkulaci správních pokut podle Nařízení GDPR.

Pokyny zavádí metodu výpočtu správních pokut dle Nařízení GDPR v pěti krocích:

  • Krok 1: Identifikace jednání porušujícího GDPR, tedy šetření, k jakému došlo jednání, jaké jsou skutkové okolnosti (např. pro posouzení polehčujících a přitěžujících okolností) a jak se toto jednání posoudí z hlediska GDPR, respektive které porušení GDPR způsobí.
  • Krok 2: Stanovení doporučené (pro dozorový úřad nezávazné) sazby pro další výpočet sankce jako procento z maximální výše pokuty (podle typu porušení – 10 mil. EUR a/nebo 2 % obratu, nebo 20 mil. EUR a/nebo 4 % obratu). Parametry pro určení výše pokuty:
    • Povaha, závažnost a trvání porušení Nařízení GDPR:
      • nízký stupeň závažnosti: pokuta ve výši 0 – 10 % zákonného maxima;
      • střední stupeň závažnosti: pokuta ve výši 10 – 20 % zákonného maxima;
      • vysoký stupeň závažnosti: pokuta ve výši 20 – 100 % zákonného maxima;
    • Obrat subjektu (s cílem zohlednit požadavek na účinnost a přiměřenost a odrazující povahu pokuty) a to v 6-ti úrovních (od obratu pod 2 mil. EUR po více než 250 mil. EUR), kde každá z úrovní upravuje procentuální snížení zákonného maxima pokuty (0,2 % – 50 %).
  • Krok 3: Zhodnocení polehčujících a přitěžujících okolností, kterými jsou např. kroky podniknuté subjektem ke zmírnění škod, míra odpovědnosti subjektu s ohledem na přijatá technická a organizační opatření, předchozí porušení Nařízení GDPR daným subjektem, míra spolupráce s dozorovým úřadem apod.
  • Krok 4: Omezení maximální výše pokuty v případě překročení maximální hranice stanovené Nařízením GDPR.
  • Krok 5: Zhodnocení skutečné účinnosti, přiměřenosti a odrazujícího účinku sankce a její případná korekce v obou směrech.

Nový štít na ochranu osobních údajů předávaných do USA (Privacy Shield)

Po zrušení tzv. Privacy Shield v roce 2020 bylo znemožněno předávání osobních údajů z EU do USA a vznikla povinnost pro každé takové předání uzavírat se zpracovateli tzv. standardní smluvní doložky.

Evropská komise a USA se nyní dohodly na novém transatlantickém rámci pro ochranu osobních údajů, který by měl zajistit volný a bezpečný přenos dat a posílení záruk ochrany soukromí a občanských svobod.

Shromažďování osobních údajů americkými zpravodajskými agenturami, které bylo jednou z příčin zrušení Privacy Shieldu, by mělo být omezeno pouze na zpracování nezbytná pro dosažení legitimních cílů národní bezpečnosti USA. Spojené státy se dále zavázaly zavést nový vícestupňový systém nápravy, který bude zahrnovat zvláštní nezávislý soud pro přezkum ochrany osobních údajů (Data Protection Review Court). Tento soud se bude skládat z osob mimo vládu USA a bude moct rozhodovat o stížnostech a nařizovat nápravná opatření.

Stejně jako v případě předchozího Privacy Shieldu by měla fungovat autocertifikace dodržování povinností firmami, které zpracovávají osobní údaje předávané z EU, a to prostřednictvím Ministerstva obchodu USA.

Přesné znění dohody nicméně zatím neexistuje, Evropská komise a vláda USA aktuálně spolupracují na převedení těchto cílů do právních dokumentů.

Záznam o činnosti zpracování – Ochrana oznamovatelů

Se zavedením nové povinnosti v oblasti ochrany oznamovatelů (whistleblowing) dochází k novému zpracování osobních údajů správcem. Upozorňujeme, že toto zpracování musí být evidováno formou Záznamu o činnostech zpracování podle článku 30 Nařízení GDPR.

Zpracování osobních údajů musí samozřejmě naplňovat všechny parametry zákonnosti zpracování, především minimalizace údajů, omezení účelem, omezení uložení a zpřístupnění osobních údajů, zabezpečení osobních údajů, transparentnost zpracování a právní důvod zpracování.

Nezbytnou podmínkou v případě využívání služeb externí společnosti pro zajištění povinností v oblasti ochrany oznamovatelů je také uzavření zpracovatelské smlouvy, která upřesňuje jakým způsobem bude docházet ke zpracování osobních údajů mezi subjekty a za jakých podmínek.

Záznam o činnosti zpracování – Agenda uprchlíků

Při zajišťování pomoci uprchlíkům je potřeba zohlednit pravidla ochrany osobních údajů. Při nakládání s osobními údaji je vždy zapotřebí zohledňovat pravidla jejich ochrany, tedy především zabezpečené uložení, sdílení pouze pro nezbytné, zákonem podložené účely a vždy pouze v nezbytném rozsahu, nezbytnému okruhu příjemců a vždy pouze zabezpečenými kanály. Poskytování statistických údajů (bez osobních údajů) samozřejmě pravidly ochrany osobních údajů není nijak dotčeno.

Jelikož dochází k novému zpracování osobních údajů správcem, musí být toto zpracování evidováno formou Záznamu o činnostech zpracování podle článku 30 Nařízení GDPR.

Zpracování osobních údajů musí samozřejmě naplňovat všechny parametry zákonnosti zpracování, především minimalizace údajů, omezení účelem, omezení uložení a zpřístupnění osobních údajů, zabezpečení osobních údajů, transparentnost zpracování a právní důvod zpracování.

Jak zjistit jaké cookies jsou na webové stránce

Dle aktuálně zveřejněných informací se Úřad pro ochranu osobních údajů v rámci svých kontrol v roce 2022 zaměří i na dodržování zákonné úpravy cookies, tj. datových souborů ukládajících se do koncového zařízení, resp. prohlížeče. Od 1. ledna 2022 totiž platí nová pravidla pro ukládání cookies (OPT-IN režim pro ukládání cookies v prohlížeči uživatele), a to na základě zákona č. 374/2021 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích.

Pro zjištění, zda, popř. jaké cookies Vaše webové stránky zpracovávají:

  • otevřete webový prohlížeč a přepněte do anonymního režimu,
  • zadejte adresu Vaší webové stránky,
  • v adresním řádku klikněte na ikonu zámečku,
  • vyberte možnost Soubory cookie.

Bez souhlasu uživatelů mohou webové stránky ukládat jen technické cookies, které jsou nezbytné pro správnou funkci stránek (výjimka ze souhlasu se ale vztahuje pouze na uložení a čtení cookies v prohlížeči uživatele). V ostatních případech musí být zaveden tzv. OPT-IN režim pro ukládání cookies, tj. ukládání cookies jen na základě výslovného / prokazatelného souhlasu návštěvníka webových stránek, a to vše v souladu s aktuálně platnou legislativou Evropské unie.

Pro vyhodnocení druhu pořizovaných cookies lze využít databázi cookies, např. https://cookiepedia.co.uk/.

Provázanost GDPR s kybernetickou bezpečností – zákonná povinnost ohlašování porušení zabezpečení osobních údajů

V měsíčníku Veřejná správa vyšel rozhovor o GDPR a kybernetické bezpečnosti s Jiřím Kauckým, předsedou ÚOOÚ (https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=56198).

V článku předseda úřadu upozorňuje na rostoucí provázanost ochrany osobních údajů s kybernetickou bezpečností. Upozorňuje především na tzv. ohlašovací povinnost v případě porušení zabezpečení osobních údajů – v případě, kdy dojde k úspěšnému hackerskému útoku a budou odcizeny osobní údaje, musí správce všechny případy porušení zabezpečení evidovat a vyhodnotit a je-li potřeba, takové porušení také nahlásit Úřadu pro ochranu osobních údajů. Oznamovat není nutné ty případy, kdy je nepravděpodobné, že by takové porušení mělo za následek riziko pro práva a svobody fyzických osob.

Pokud je ovšem pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, je správce osobních údajů povinen oznámit takové porušení, a to bez zbytečného odkladu, nejen ÚOOÚ, ale i dotčeným subjektům údajů.

Ačkoliv ÚOOÚ nehodlá trestat oběti hackerských útoků, jsou případy, kdy správce natolik zásadním způsobem zanedbal své povinnosti chránit osobní údaje, že bude na místě uplatnění sankčních pravomocí. Z pohledu správce osobních údajů je tedy nezbytné nastavit a naplňovat proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických, fyzických a organizačních opatření pro zajištění bezpečnosti zpracování osobních údajů.

Pokud k porušení zabezpečení dojde, je zákonnou povinností správce osobních údajů splnit svou ohlašovací povinnost a takové porušení oznámit ÚOOÚ, popř. i NÚKIB, spadá-li správce do povinných osob dle zákona o kybernetické bezpečnosti.

Pořízení tajného audiozáznamu v pracovních vztazích

Ustanovení § 86 občanského zákoníku stanoví: „Nikdo nesmí zasáhnout do soukromí jiného, nemá-li k tomu zákonný důvod. Zejména nelze bez svolení člověka narušit jeho soukromé prostory, sledovat jeho soukromý život nebo pořizovat o tom zvukový nebo obrazový záznam, využívat takové či jiné záznamy pořízené o soukromém životě člověka třetí osobou, nebo takové záznamy o jeho soukromém životě šířit. Ve stejném rozsahu jsou chráněny i soukromé písemnosti osobní povahy.“

Bez souhlasu osoby lze pořídit zvukový záznam na základě zákonné licence (vědecký, umělecký účel atp.). Svolení k pořízení audiozáznamu dále není třeba, pokud se zvukový záznam pořídí k výkonu nebo ochraně jiných práv nebo právem chráněných zájmů jiných osob. Svolení dále není třeba ani v případě, když zvukový záznam pořídí na základě zákona k úřednímu účelu nebo v případě, že někdo veřejně vystoupí v záležitosti veřejného zájmu.

Zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci. Je tedy zákonem vyloučeno, aby zaměstnavatel pořídil tajný audiozáznam z rozhovoru se zaměstnancem.

Zaměstnanec však může v některých případech pořídit tajný audiozáznam, ve kterém figuruje zaměstnavatel. Nejvyšší soud k tomu uvedl, že zvukový nebo obrazový záznam, který se týká člověka nebo jeho projevů osobní povahy a který byl pořízen soukromou osobou bez vědomí nahrávané osoby, lze použít jako důkaz v občanském soudním řízení pouze tam, kde má vést k prokázání skutečnosti, kterou není možné prokázat jinak (pomocí důkazů, které nezasahují do absolutních osobnostních práv dotčené osoby), a kde i další okolnosti případu vedou k závěru, že nelze upřednostnit právo na ochranu osobnosti dotčené osoby před právem na spravedlivý proces toho, komu je použití důkazu zvukovým či obrazovým záznamem týkajícím se této osoby nebo jejích projevů osobní povahy na prospěch.

Kamerový systém na pracovišti a použití atrap kamery

Řada organizací využívá pro ochranu svého majetku bezpečnostní kamery. Organizace musí při používání kamerového systému určeného ke kontrole pracovních prostor a zaměstnanců na pracovišti dodržovat jak pravidla ochrany osobních údajů v souladu s Nařízením GDPR, tak Zákoníku práce, § 316 zejména odst. 2. Ke kontrole zaměstnanců kamerovým systémem je třeba podle Zákoníku práce zvláštní důvod spočívající ve zvláštní povaze činnosti zaměstnavatele (např. nakládání s peněžní hotovostí, s cennými kovy nebo s majetkem vysoké hodnoty apod.).

Monitorování kamerovým systémem lze v souladu s Nařízením GDPR nejčastěji podložit právním důvodem „oprávněný zájem zaměstnavatele“ (tedy ochrana života a zdraví osob, ochrana majetku zaměstnavatele nebo kontrola dodržování povinností zaměstnanců na úseku BOZP apod.). Toto zpracování je však možné jen pod podmínkou, že zasahuje do soukromí zaměstnanců pouze v minimálním rozsahu. Test proporcionality daného pořizování záznamů musí respektovat rovnováhu mezi zájmy zaměstnavatele a ochranou osobních údajů zaměstnanců, včetně zdůvodnění, proč je jiný způsob kontroly nedostačující.

Úřad pro ochranu osobních údajů shrnul základní kritéria nadměrného zásahu do soukromí a jako zcela nepřípustné označuje např. umístění kamerového systému „v prostorách určených k ryze soukromým úkonům (např. toalety, sprchy)”. Kamerové systémy lze tedy umístit např. na chodbu nebo ke vstupům do objektu, je však nepřípustné, aby byly nepřetržitě monitorovány společné oddychové prostory, jako třeba jídelna nebo kuchyňka.

Ke kontrole zaměstnanců kamerovým systémem není třeba získávat jejich souhlas, nezbytnou podmínkou však je informování zaměstnanců o prováděném monitorování, obvykle formou interního informačního memoranda a informační cedule umístěné před vstupem do monitorovaných prostor.

Samozřejmostí je vedení Záznamu o činnostech zpracování dle čl. 30 Nařízení GDPR, zabezpečení uložení pořízených záznamů, včetně omezení přístupu k nim a jejich výmaz maximálně po 7 dnech. Při neoprávněném monitorování může být zaměstnavateli udělena pokuta až 1 mil. Kč.

V případě, že organizace na pracovišti nainstaluje nefunkční kamerový systém, tj. atrapy kamer, tak se již nejedná o zpracování osobních údajů dle Nařízení GDPR. Atrapou kamerového systému totiž nelze sbírat osobní údaje zaměstnanců. Instalace atrapy kamery na pracovišti může však být považována z pohledu Zákoníku práce za možné porušení pracovněprávních předpisů. Toto tvrzení potvrdil i Inspektorát práce, který v rámci provedeného šetření kamerové atrapy na pracovišti konstatoval, že zaměstnavatel instalací atrapy technologických prvků kamerového systému porušil § 302 Zákoníku práce, konkrétně povinnost „vytvářet příznivé pracovní podmínky a zajišťovat bezpečnost a ochranu zdraví při práci.

Kontroly Úřadu pro ochranu osobních údajů

Organizace jako správce (případně zpracovatel) osobních údajů je povinna doložit soulad své činnosti s Nařízením GDPR a národní legislativou. To je tedy zejména povinnost:

  • vést záznamy o činnostech zpracování;
  • vyhodnocovat a případně ohlašovat případy porušení zabezpečení osobních údajů (incidenty v oblasti zpracování osobních údajů);
  • jmenovat Pověřence pro ochranu osobních údajů (podle typu organizace a typu prováděného zpracování);
  • dodržovat zásady zpracování osobních údajů (omezení účelem, minimalizace zpracování, zabezpečení osobních údajů, omezení uložení apod.);
  • vést interní dokumentaci ochrany osobních údajů, především interní směrnici o zpracování osobních údajů;
  • informovat subjekty údajů o prováděném zpracování osobních údajů;
  • plnit práva subjektů údajů podle Nařízení GDPR;
  • uzavřít zpracovatelskou smlouvu s každým zpracovatelem osobních údajů;
  • pravidelně testovat, posuzovat a hodnotit účinnost zavedených organizačních, fyzických a technických opatření pro zajištění bezpečnosti zpracování osobních údajů.

Dozorovým úřadem v oblasti ochrany osobních údajů je Úřad pro ochranu osobních údajů, který vykonává dozor, provádí kontrolu na místě a ukládá nápravná opatření a finanční sankce. ÚOOÚ kontrolu zahajuje na základě:

  • svého kontrolního plánu,
  • stížnosti subjektu údajů,
  • veřejně dostupných informací.

V případě zahájení kontroly ÚOOÚ je vždy prvním krokem vyžádání doložení souladu zpracování osobních údajů s Nařízením GDPR a národní legislativou, což jsou především aktuální Záznamy o činnostech zpracování dle č. 30 Nařízení GDPR, interní směrnice, informační memorandum, doložení procesu testování systému ochrany osobních údajů a uzavřené zpracovatelské smlouvy. Každý správce (popř. zpracovatel) osobních údajů by proto tuto dokumentaci měl udržovat průběžně aktuální a kompletní.

Výroční zpráva ÚOOÚ za rok 2021 – konkrétní realizované kontroly ÚOOÚ

V roce 2021 Úřad pro ochranu osobních údajů provedl celkem 52 kontrol, z toho již 43 kontrol ukončil. ÚOOÚ uložil pravomocně 40 pokut za porušení Nařízení GDPR. Mezi nejčastější pochybení patřilo zpracování osobních údajů bez řádného právního titulu, užívání údajů k jinému účelu, než k jakému byly získány, zpracovatelské smlouvy neobsahující všechny náležitosti dle čl. 28 Nařízení GDPR, nedostatečné informování subjektů údajů o zpracování jejich údajů atd. Nejvyšší uložená částka byla 2 mil. Kč za nesplnění uložených nápravných opatření. Celková částka uložených pokut v souvislosti s porušením obecného nařízení od 25. května 2018 činí 10 684 000 Kč.

i) Kontrola „Zpracování osobních údajů respondentů veřejného průzkumu spokojenosti obyvatel“

Předmětem kontroly byl postup obce při realizaci tzv. průzkumu spokojenosti obyvatel s životem ve městě. V rámci průzkumu město vyžadovalo vyplnění osobních údajů v rozsahu datum narození respondenta a číslo občanského průkazu. Poskytnuté osobní údaje měly sloužit k ověření, zda má respondent v daném městě trvalý pobyt nebo zde vlastní nemovitost. Průzkum pak měl být zaměřen pouze na osoby s takovýmto vztahem k městu a dotazníky vyplněné jinými osobami měly být z veřejného průzkumu vyřazeny. Dotazník bylo možno vyplnit v elektronické či listinné podobě. Přes uvedený záměr města byly do výsledků veřejného průzkumu zahrnuty i vyplněné dotazníky osob, které nejsou jeho občany ani zde nevlastní nemovitost. Účel, pro který byly osobní údaje shromažďovány, tak byl překročen, přičemž město ani neprokázalo zákonný titul pro zpracování osobních údajů, čímž porušilo základní zásady zpracování osobních údajů (zásada zákonnosti a zásada omezení účelem).

Obec prováděla zpracování osobních údajů prostřednictvím soukromé společnosti. S tímto zpracovatelem však neuzavřela zpracovatelskou smlouvu. Nad rámec toho nebyly doloženy ani žádné předané pokyny mezi městem (správcem) a zpracovatelem, na základě kterých by mělo probíhat zpracování osobních údajů. Do zpracování byl též zapojen další zpracovatel, přičemž ani toto zapojení nebylo řádně smluvně zajištěno dle obecného nařízení.

Dotazník byl navíc v elektronické podobě vyplňován prostřednictvím on-line cloudové služby, přičemž ani k využití této technologie nebyla ze strany správce nastavena pravidla. Ačkoliv město deklarovalo, že ověření oprávnění účastnit se průzkumu je realizováno anonymně, v praxi k žádné anonymizaci nedocházelo.

Ohledně uvedených skutečností pak ÚOOÚ shledal, že město:

  • porušilo Nařízení GDPR ve vztahu k povinnostem týkajícím se nastavení vztahu mezi správcem a zpracovatelem;
  • nedoložilo přijetí technických a organizačních bezpečnostních opatření, a to zejména pro operace zpracování, v rámci kterých byly osobní údaje zpracovávány mimo interní informační systém města;
  • nesplnilo informační povinnost, a to předně ve vztahu k tomu, kdo jsou příjemci osobních údajů, či že jsou do zpracování osobních údajů zapojeni mimo město (tj. správce) i zpracovatelé.

Proti kontrolním zjištěním město nepodalo námitky. V rámci navazujícího správního řízení pak byly městu uloženy konkrétní povinnosti k nápravě závadného stavu, k jejichž splnění následně přistoupilo.

ii) Kontrola „Zpracování osobních údajů zaměstnanců v informačních a komunikačních systémech“

Předmětem kontroly bylo dodržování povinností stanovených ministerstvu v souvislosti se zpracováním osobních údajů zaměstnanců v informačních a komunikačních systémech. Kontrolováno bylo zpracování osobních údajů zaměstnanců ve 21 samostatných informačních a komunikačních systémech a aplikacích využívaných ministerstvem, včetně zvláštních kategorií osobních údajů (údaje o zdravotním stavu, biometrické údaje), a činnost zpracovatele.

Kontrolující ověřili zákonnost zpracování a konstatovali, že kontrolovaná osoba poskytuje subjektům údajů všechny informace, které jsou čl. 13 Nařízení GDPR předpokládány. Nebylo zjištěno ani porušení povinností odpovídajících právům subjektů údajů dle Nařízení GDPR.

Drobné formální nedostatky byly zjištěny:

  • v oblasti zabezpečení zpracovávaných osobních údajů (např. formální neaktuálnosti v některých interních předpisech);
  • Pověřenec pro ochranu osobních údajů nebyl nijak zapojen v rámci plnění povinností kontrolované osoby vztahujících se k zabezpečení osobních údajů a ani ve vztahu k realizaci práv subjektů údajů;
  • Pověřenci nebyly předkládány informace, které jsou pro výkon této funkce nezbytné (např. auditní zprávy), ani zdroje k plnění jeho úkolů, a to zejména zdroje časové a personální (kromě plnění úkolů Pověřence mu totiž byly systematicky ukládány další úkoly s touto funkcí nesouvisející).

Kontrolovaná osoba proti kontrolním zjištěním neuplatnila námitky a v návaznosti na uvedená zjištění přistoupila k nápravě závadného stavu.

iii) Kontrola „Zpracování osobních údajů a plnění povinností při výkonu práv subjektů údajů“

Kontrolovanou osobou byla právnická osoba podnikající v oblasti on-line aukcí, přičemž kontrola byla zahájena na základě stížnosti. Kontrolovaná osoba neposkytla stěžovateli informaci o zpracování jeho osobních údajů a na jím vznesený požadavek na vymazání z její evidence řádně a aktivně nereagovala, pouze umožňovala subjektům údajů, aby se přihlásily do svých uživatelských účtů a své osobní údaje tam samy vymazaly.

Úřad v rámci kontroly konstatoval, že je povinností správce realizovat práva subjektů údajů, obrátí-li se na něj subjekt údajů s uplatněním daného práva. Zjištěné porušení Nařízení GDPR bylo ze strany kontrolované osoby zhojeno ještě v průběhu řízení, tzn. že kontrolovaná osoba jako správce osobních údajů zavedla mechanismus, jímž vždy řádně reaguje na žádost subjektů údajů.

iv) Kontrola „Vydání publikace k výročí školy s uvedením seznamu absolventů“

Zdrojem pro vydání ročenky má být školní matrika vedená podle § 28 zákona č. 561/2004 Sb., školský zákon, jako evidence dětí, žáků nebo studentů. K zařazení seznamu absolventů do ročenky tak škola musí mít právní důvod, kterým může být oprávněný zájem školy připomenout významné výročí školy vydáním ročenky mapující její historii. Platí však zásada, že osobní údaje shromážděné do školní matriky nesmějí být dále zpracovávány způsobem, který je s účelem vedení matriky neslučitelný.

Pokud bude ročenka zveřejněna v tištěné podobě v omezeném nákladu určeném pouze samotným absolventům nebo jejich rodinným příslušníkům, v minimálním rozsahu osobních údajů: jméno, příjmení, třída a rok absolvování, nebudou uvedené zásady porušeny a vydání ročenky je i bez souhlasu jednotlivých absolventů školy možné.

Právo na ochranu osobních údajů absolventů by mělo přednost v případě, že by ročenka měla být zveřejněna prostřednictvím internetu neomezenému okruhu příjemců, kdy je riziko dalšího zpracování zveřejněných osobních údajů s propojením na další osobní údaje absolventů získávané z jiných zdrojů mnohem vyšší. V takovém případě by byl jediným právním důvodem ke zveřejnění souhlas subjektů údajů. Stejné řešení by škola musela použít v případě, že by ročenka byla ve větším nákladu pro komerční účely prodávána širokému okruhu potenciálních zájemců.

v) Kontrola „Neoprávněné zpracování osobních údajů získaných z veřejných databází průmyslových práv“

Na základě podnětu Úřadu průmyslového vlastnictví (ÚPV) řešil ÚOOÚ případ zasílání nevyžádaných nabídek, které byly zasílány přihlašovatelům a vlastníkům průmyslových práv s nabídkou registrace jejich průmyslového práva za úplatu na internetových stránkách oslovujícího subjektu, kterým byla obchodní společnost. Osobní údaje oslovovaných osob přitom obviněná společnost získávala z veřejných databází průmyslových práv vedených ÚPV a v oslovených se snažila vyvolat dojem, že jde o oficiální státní instituci (ÚPV) a oficiální rejstřík.

Společnosti byla uložena pokuta 120 tis. Kč. V případě získání osobních údajů z veřejných databází nejde o zpracování na základě souhlasu subjektu údajů, zpracování osobních údajů nezbytného pro účely oprávněných zájmů správce, ani o zpracování osobních údajů ve veřejném zájmu.

Vyřizování žádosti subjektu údajů o přístup podle čl. 15 k „veškerým osobním údajům“

Při vyřizování uvedené žádosti je správce osobních údajů povinen subjektu údajů poskytnout rozsah informací uvedených v čl. 15 odst. 1 Nařízení GDPR (účel zpracování, kategorie dotčených osobních údajů apod.). I v případě, že obec provádí pouze zpracování, která jsou jí stanovena zvláštními právními předpisy (např. zákonem č. 128/2000 Sb., o obcích, či zákonem č. 106/1999 Sb., o svobodném přístupu k informacím), není dostačující obecné konstatování, že správce zpracovává osobní údaje subjektu údajů výhradně na základě zákonných předpisů. Je zde nutné konkretizovat, o jaké předpisy se jedná, co je účelem zpracování apod. Většinu informací však již správce vede v rámci Záznamů o činnostech zpracování dle čl. 30 Nařízení GDPR.

Podle recitálu 63 GDPR platí, že pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost ho před poskytnutím informací požádat, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká. Dále platí, že pokud jsou žádosti podané občany zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, má správce dvě možnosti. Buď uloží přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací, nebo odmítne žádosti vyhovět. Obecně platí, že odmítnutí či zpoplatnění uvedené žádosti by mělo být relevantně odůvodněno.

Porušení GDPR při hackerských útocích

V současné době stále více přibývá hackerských útoků na internetové stránky různých organizací včetně měst a obcí, při kterých dochází k odcizení osobních údajů.

Úřad pro ochranu osobních údajů upozorňuje, že odcizení osobních údajů při hackerském útoku může pro postižený subjekt v roli správce osobních údajů znamenat porušení Nařízení GDPR. ÚOOÚ proto doporučuje, aby organizace v postavení správce osobních údajů včas provedly odpovídající revizi svých informačních systémů a procesů zabezpečení, a přijaly odpovídající preventivní opatření pro efektivní ochranu a zabezpečení osobních údajů, které spravují.

V případě, že při hackerském útoku na informační systémy organizace dojde k odcizení osobních údajů, musí organizace tento únik osobních údajů neprodleně ohlásit ÚOOÚ. Návod ohlášení porušení zabezpečení osobních údajů v souladu s Nařízením GDPR je zveřejněn na webových stránkách ÚOOÚ https://www.uoou.cz/poruseni-zabezpeceni/ds-5020/archiv=0&p1=3938.

Bezpečnostní varování před možnou nedostupností technologií dodavatelů Ruska

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal bezpečnostní varování před hrozbou v oblasti kybernetické bezpečnosti spočívající v nedodržení smluvních závazků ze strany dodavatelů ICT služeb a produktů s významným vztahem k Ruské federaci (viz https://www.nukib.cz/cs/uredni-deska/).

NÚKIB vydal toto preventivní varování na základě zákona č. 181/2014 Sb., o kybernetické bezpečnosti, tj. instituce spadající pod tento zákon musí provést analýzu rizik z pohledu dodavatelů ICT. Pokud rizikové technologie v systémech objeví, je nutné zjistit, zda od dodavatelů hrozí nedostupnost služeb nebo omezení dodávek a případně vyvodit příslušné závěry.

NÚKIB ICT s významným vztahem k Ruské federaci nezakazuje, pouze varuje před tím, že by dodavatelé vlivem sankcí nemuseli být schopní plnit své závazky. Dodavatel ICT s významným vztahem k Ruské federaci se podle NÚKIB pozná podle několika ukazatelů, např. má sídlo v Rusku, je závislý na dodávkách z Ruska, má v této zemi umístěný výzkum a vývoj atd.

Často kladené otázky k zákonu o některých službách informační společnosti

Úřad pro ochranu osobních údajů na svých webových stránkách (viz https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=5494) zveřejnil často kladené otázky k zákonu č. 480/2004 Sb., o některých službách informační společnosti.

ÚOOÚ ve spojitosti s agendou obchodních sdělení v rámci často kladených otázek odpovídá na dotazy z následujících oblastí:

  • Pojem obchodní sdělení
  • Právní tituly k zasílání obchodních sdělení
  • Podmínky pro zasílání obchodních sdělení
  • Přestupky
  • Ostatní

Výroční zpráva ÚOOÚ za rok 2021

Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách výroční zprávu ÚOOÚ za rok 2021 (viz https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=55760), která obsahuje podrobný přehled významných témat řešených úřadem v loňském roce v oblasti ochrany osobních údajů, přehled přezkumných a odvolacích řízení podle zákona o svobodném přístupu k informacím, přehled o kontrolní činnosti úřadu atd.

ÚOOÚ v roce 2021 odpověděl na 1 651 písemných dotazů veřejnosti a přijal celkem 1 720 stížností a 710 podnětů. Dle zveřejněných dat si lidé v roce 2021 nejvíce v rámci podaných stížností a podnětů stěžovali na zpracování údajů pro marketingové účely (obchodní sdělení a marketingové hovory), zveřejnění / zpřístupnění osobních údajů, výkon práv subjektů údajů dle čl. 15 a 21 Nařízení GDPR a monitorování fyzických osob prostřednictvím kamer. Z hlediska zastoupení stížností a podnětů z oblastí veřejnoprávních a soukromoprávních vztahů výrazně převažují podané stížnosti a podněty směřující proti zpracování osobních údajů v soukromoprávní oblasti.

V roce 2021 ÚOOÚ provedl celkem 52 kontrol, z toho již 43 kontrol ukončil. Úřad uložil pravomocně 40 pokut za porušení Nařízení GDPR. Mezi nejčastější pochybení patřilo zpracování osobních údajů bez řádného právního titulu, užívání údajů k jinému účelu, než k jakému byly získány, zpracovatelské smlouvy neobsahující všechny náležitosti dle čl. 28 Nařízení GDPR, nedostatečné informování subjektů údajů o zpracování jejich údajů atd. Nejvyšší uložená částka byla 2 mil. Kč za nesplnění uložených nápravných opatření.

V oblasti nevyžádaných obchodních sdělení ÚOOÚ v roce 2021 uložil pravomocně 29 pokut za porušení zákona č. 480/2004 Sb., o některých službách informační společnosti. Mezi nejčastější pochybení patřilo zasílání obchodních sdělení bez právního titulu, porušení v náležitostech obchodních sdělení – nesprávné označení takových zpráv, či chybějící informace o tom, v čí prospěch je obchodní sdělení odesíláno, v případě SMS zpráv se jednalo o pochybení při neuvádění možností odhlášení takových zpráv.

ÚOOÚ vedl v loňském roce celkem 60 správních řízení v rámci orgánu prvního stupně.

Problematika pokut udělených nemocnicím – akciovým společnostem

Nejvyšší správní soud potvrdil platnost pokuty ve výši 40 tis. Kč, kterou v rámci provedených kontrol Úřad pro ochranu osobních údajů udělil nemocnici Tábor za nedostatečné zajištění bezpečnosti při zpracování osobních údajů. Nemocnice Tábor se bránila proti pokutě za porušení Nařízení GDPR s argumentem, že je veřejným subjektem podle zákona č. 110/2019 Sb., o zpracování osobních údajů, a nepodléhá tak finančním sankcím.

Toto rozhodnutí Nejvyššího správního soudu (NSS) je přelomové – v rámci vydaného rozhodnutí NSS konstatoval, že nemocnice – akciová společnost není z pohledu zákona č. 110/2019 Sb. veřejným subjektem, přestože je financována převážně z prostředků veřejného zdravotního pojištění.

V rámci vydaného rozhodnutí NSS odmítl aplikaci zákona o zpracování osobních údajů, který neumožňuje uložení sankce veřejnému subjektu. V této souvislosti NSS uvedl, že zákon č. 110/2019 Sb. definici veřejného subjektu neuvádí. Nemocnice jako akciová společnost s vlastním majetkem a hospodařením je financována převážně z prostředků veřejného zdravotního pojištění, což však nelze brát jako čerpání peněz z veřejných rozpočtů. Nemocnice – akciová společnost získává finanční prostředky na svůj provoz a fungování jako protiplnění za konkrétní lékařské úkony, které vykáže zdravotním pojišťovnám. Nemocnice – akciová společnost tedy není veřejným subjektem ve smyslu zákona o zpracování osobních údajů, u něhož by mělo být podle § 62 odst. 5 tohoto zákona rozhodnuto o upuštění od potrestání.

Celé znění rozsudku Nejvyššího správního soudu je zveřejněno na webových stránkách ÚOOÚ (viz https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=55741).

Zpracování osobních údajů uprchlíků z Ukrajiny

V současné době přichází do České republiky obrovské množství občanů napadené Ukrajiny. Při zajišťování pomoci je potřeba zohlednit pravidla ochrany osobních údajů. V praxi nastávají situace, kdy asistenční centra sdílejí s obcemi seznamy uprchlíků, včetně jejich osobních údajů (jméno a příjmení, datum narození, pohlaví, ubytování, obec apod.). Navíc k předávání dochází nezabezpečenými kanály (elektronickou poštou, bez zašifrování dat).

Upozorňujeme, že se jedná o porušení pravidel ochrany osobních údajů i vysoké bezpečnostní riziko pro samotné uprchlíky. Při nakládání s osobními údaji je vždy zapotřebí zohledňovat pravidla jejich ochrany, tedy především zabezpečené uložení, sdílení pouze pro nezbytné, zákonem podložené účely a vždy pouze v nezbytném rozsahu, nezbytnému okruhu příjemců a vždy pouze zabezpečenými kanály.

Poskytování statistických údajů (bez osobních údajů) samozřejmě pravidly ochrany osobních údajů není nijak dotčeno.

Využívání cloudových služeb veřejnými subjekty

Využívání cloudových služeb veřejnými subjekty klade vysoké nároky na ochranu osobních údajů, proto je velmi důležité využívat bezpečné produkty či služby neohrožující ochranu zpracovávaných osobních údajů.

Na využívání cloudových služeb veřejnými subjekty se v současné době zaměřuje 22 evropských dozorových úřadů vč. českého Úřadu pro ochranu osobních údajů. Tato akce, která byla iniciována Evropským sborem pro ochranu osobních údajů (EDPB), vychází z Rámce pro koordinované prosazování předpisů podle obecného nařízení o ochraně osobních údajů (CEF) a také ze zjištění Eurostatu, z něhož vyplývá, že využívání cloudových služeb v Evropské unii se za posledních šest let zdvojnásobilo.

Společný postup evropských dozorových úřadů si klade za cíl zmapovat situaci v jednotlivých členských státech a následně přijmout takové kroky, které zajistí dostatečnou ochranu osobních údajů zpracovávaných veřejným sektorem. V rámci akce bude prověřeno více jak 75 veřejných institucí napříč Evropskou unií a Evropským hospodářským prostorem.

ÚOOÚ v první fázi této akce oslovil formou dotazníkového šetření vybrané instituce České republiky, a to Ministerstvo práce a sociálních věcí, Ministerstvo vnitra a Národní agenturu pro komunikační a informační technologie. Cílem dotazníkového šetření je zjistit aktuální stav využívání cloudových služeb dle Nařízení GDPR. Informace zjištěné v rámci dotazníkového šetření budou vyhodnoceny jak ÚOOÚ, tak i na unijní úrovni. V závislosti na zjištěných informacích ÚOOÚ v druhé fázi akce rozhodne o podniknutí dalších kroků či o přijetí vhodných postupů zajišťujících vysoký standard ochrany osobních údajů ve veřejném sektoru.

Evropský sbor pro ochranu osobních údajů zveřejní souhrnnou zprávu o výsledku této koordinované akci na konci roku 2022.

Plán kontrol ÚOOÚ pro rok 2022

Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách kontrolní plán pro rok 2022. V rámci plánovaných kontrol se ÚOOÚ zaměří jak na veřejný sektor, tak i soukromé společnosti.

V prvním pololetí roku 2022 bude ÚOOÚ pokračovat v kontrolní činnosti u projektu Chytré karantény. V rámci dalších plánovaných kontrol se zaměří na dodržování zákonné úpravy cookies (tj. zpracování osobních údajů prostřednictvím cookies), dodržování pravidel pro zpracovatelské smlouvy, zpracování osobních údajů exekutorskými úřady, šíření nevyžádaných obchodních sdělení atd.

Anonymizovaná verze kontrolního plánu ÚOOÚ je zveřejněna na webových stránkách Úřadu https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=55367.

Kontrola nastavení pravidel a informací o cookies

Dle aktuálně zveřejněných informací se Úřad pro ochranu osobních údajů v rámci svých kontrol v roce 2022 zaměří i na dodržování zákonné úpravy cookies, datových souborů ukládajících se do koncového zařízení, resp. prohlížeče. Od 1. ledna 2022 totiž platí nová pravidla pro ukládání cookies (OPT-IN režim pro ukládání cookies v prohlížeči uživatele), a to na základě zákona č. 374/2021 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích.

V případě Vašeho zájmu o provedení kontroly nastavení pravidel a informování o ukládání cookies při návštěvě webových stránek Vaší společnosti nás prosím kontaktujte na e-mailové adrese equica@equica.cz. V rámci kontroly provedeme analýzu a detailně posoudíme zpracování osobních údajů prostřednictvím souborů cookies a navrhneme příp. doporučení k nápravě tak, aby ukládání a informování o cookies prostřednictvím cookies lišty na Vašich webových stránkách bylo zcela v souladu se zákonem 374/2021 Sb.

Riziko kyberútoků – varování NÚKIB

V souvislosti s invazí ruských vojsk na Ukrajinu Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal 25. února 2022 varování před kyberšpionáží a kybernetickými útoky na významné cíle v České republice – strategické instituce veřejné správy, prvky kritické informační infrastruktury, informační systémy základních služeb či média (viz https://www.nukib.cz/download/uredni_deska/2022-02-25_varovani-final.pdf).

Tuto hrozbu kybernetických útoků z hlediska pravděpodobnosti NÚKIB hodnotí na úrovni „kritická“, tj. hrozba je velmi pravděpodobná až téměř jistá.

Ve spolupráci s Ministerstvem zdravotnictví vydal NÚKIB i doporučení ke snížení kybernetických hrozeb pro zdravotnická zařízení (viz https://www.nukib.cz/cs/infoservis/aktuality/1815-nukib-a-ministerstvo-zdravotnictvi-vydaly-doporuceni-ke-snizeni-kybernetickych-hrozeb-pro-zdravotnicka-zarizeni/). Doporučení obsahují popis preventivních kroků jak se vyhnout incidentům způsobeným útoky a dále obsahují i popis reaktivních kroků jak se zachovat, pokud útok již probíhá.

Na základě nastalé válečné situace a obavy z možného zneužití uniklých osobních údajů pro vojenské účely je správcům osobních údajů doporučeno zrevidovat všechny procesy předávání osobních údajů do Ruska a Ukrajiny z pohledu dodržování ochrany osobních údajů.

Poskytování rodného čísla

V případě požadavku na sdělení rodného čísla je vždy nezbytné posoudit na základě jakého právního důvodu požaduje daný subjekt / osoba sdělení rodného čísla.

Dle Nařízení GDPR musí každý správce osobních údajů poskytnout subjektu údajů v okamžiku získání jeho osobních údajů informaci, zda poskytování osobních údajů je zákonným požadavkem či smluvním požadavkem, nebo požadavkem, který je nutné uvést např. do smlouvy, a zda má subjekt údajů povinnost požadované osobní údaje poskytnout a jaké jsou příp. důsledky při neposkytnutí těchto osobních údajů.

Využití rodného čísla definuje § 13c zákona č. 133/2000 Sb., o evidenci obyvatel. Např. zaměstnavatel dle zákona o evidenci obyvatel eviduje rodná čísla svých zaměstnanců na základě zvláštních zákonů (např. zákona č. 48/1997 Sb., o veřejném zdravotním pojištění, zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení atd.). V případě zaměstnavatele nepřipadá v úvahu, aby si zaměstnavatel zpracování rodného čísla pro tyto účely zajišťoval prostřednictvím souhlasu.

Rozesílání hromadných e-mailů

V případě rozesílání hromadných e-mailů s „otevřenou hlavičkou“ (tj. v hlavičce e-mailu jednotliví adresáti vidí ostatní adresáty), dochází z pohledu GDPR k předání osobních údajů jednotlivých adresátů, a to konkrétně jejich e-mailových adres spolu s informací, že jsou členy určité skupiny, kterým je daný e-mail zaslán.

Z pohledu ochrany osobních údajů by měly být hromadné e-maily rozesílány tak, aby ve zprávě nebyli viditelní ostatní adresáti. Existují samozřejmě specifické výjimky v případě hromadného e-mailu, kdy je zřejmé, že předání kontaktních údajů mezi členy dané skupiny / organizace nepředstavuje žádné riziko pro subjekty údajů (adresáty e-mailu), např. hromadný e-mail na zaměstnance organizace v případě zahájení diskuze na řešené téma / událost apod.

Monitorování elektronické komunikace na pracovišti

Zaměstnanci dle § 316 zákona č. 262/2006 Sb., zákoník práce nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení.

Zaměstnavatel je oprávněn dodržování tohoto zákazu přiměřeným způsobem kontrolovat, tj. zaměstnavatel má právo sledovat množství a velikost přijaté a odeslané pošty zaměstnancem, sledovat domény navštívených internetových stránek atd. Zaměstnanci musí být včas informováni, pokud zaměstnavatel v rámci organizace zavede monitoring webu, elektronické pošty či telekomunikačních zařízení prostřednictvím specifických sledovacích nástrojů.

Osobní údaje zpracovávané zaměstnavatelem

Zaměstnavatel je povinen zpracovávat osobní údaje svých zaměstnanců nejen na základě Nařízení GDPR, ale také na základě zákona č. 262/2006 Sb., zákoník práce.

Nařízení GDPR definuje, že pokud je zaměstnavatel (tj. správce osobních údajů) schopen zpracování osobních údajů svých zaměstnanců podřadit pod některý ze zákonných důvodů, je oprávněn je dále zpracovávat. Důvody pro zpracování osobních údajů zaměstnanců dle Nařízení GDPR:

  • zpracování osobních údajů je nezbytné k plnění smlouvy uzavřené se zaměstnancem (pracovní smlouva, DPP, DPČ);
  • zpracování osobních údajů je nezbytné k plnění právní povinnosti zaměstnavatele;
  • zpracování osobních údajů je nezbytné pro ochranu životně důležitých zájmů zaměstnance;
  • zpracování osobních údajů je nezbytné pro plnění úkolů ve veřejném zájmu nebo při výkonu veřejné moci, kterým byl zaměstnavatel pověřen;
  • zpracování osobních údajů je nezbytné pro účely oprávněných zájmů zaměstnavatele;
  • zaměstnanec ke zpracování osobních údajů udělil souhlas.

Zákoník práce obsahuje relevantní ustanovení upravující problematiku zpracování osobních údajů zaměstnanců. Dle zákoníku práce zaměstnavatel nesmí od svých zaměstnanců vyžadovat informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovně-právním vztahem, tj. informace o sexuální orientaci, původu, členství v odborové organizaci, členství v politických stranách nebo hnutích, příslušnosti k církvi nebo náboženské společnosti.

Informace o těhotenství, rodinných poměrech, majetkových poměrech a trestněprávní bezúhonnosti zaměstnance může zaměstnavatel vyžadovat, pouze pokud je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to stanoví zákoník práce nebo zvláštní právní předpis.

V případě Vašeho zájmu o posouzení personálních / osobních spisů zaměstnanců společnosti (spisů všech zaměstnanců, nebo spisů vybraných zaměstnanců) nás prosím kontaktujte na e-mailové adrese equica@equica.cz. V rámci kontroly detailně projdeme personální spisy zaměstnanců, překontrolujeme a posoudíme všechny zapisované / shromažďované údaje a dokumenty, překontrolujeme nastavené lhůty archivace a skartace, zhodnotíme co je správně / špatně a navrhneme příp. doporučení vedoucí k nápravě.

Změna pravidel pro zpracování cookies

Jak jsme Vás již dříve informovali, tak od 1. ledna 2022 platí nová pravidla pro ukládání cookies (tj. datových souborů ukládajících se do koncového zařízení, resp. prohlížeče), a to na základě zákona č. 374/2021 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích.

Bez souhlasu uživatelů mohou webové stránky nově ukládat jen technické cookies, které jsou nezbytné pro správnou funkci stránek (výjimka ze souhlasu se ale vztahuje pouze na uložení a čtení cookies v prohlížeči uživatele). V ostatních případech musí být zaveden tzv. OPT-IN režim pro ukládání cookies, tj. ukládání cookies jen na základě výslovného / prokazatelného souhlasu návštěvníka webových stránek, a to vše v souladu s legislativou Evropské unie.

Uložení cookies je tedy nyní možné až v okamžiku, kdy k tomu dá uživatel výslovný souhlas. Souhlas se zpracováním osobních údajů není právoplatně udělen, pokud je políčko předem zaškrtnuté a uživatel musí sám souhlas zrušit odškrtnutím.

Souhlas se zpracováním osobních údajů může subjekt údajů kdykoli odvolat, přičemž odvolání souhlasu musí být stejně snadné jako jeho udělení (ideálně prostřednictvím tlačítka či odkazu určeného k odvolání dříve uděleného souhlasu).

Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách sadu odpovědí na často kladené otázky ohledně zpracování cookies – viz https://www.uoou.cz/casto-kladene-otazky-ohledne-souhlasu-s-cookies-udeleneho-prostrednictvim-tzv-cookie-listy/ds-6912/archiv=1&p1=2619.

Změna pravidel pro telemarketing

Novela zákona o elektronických komunikacích – zákon č. 374/2021 Sb. stanovuje i změnu podmínek kontaktování za účelem marketingu. Přestože zákon č. 374/2021 Sb. je účinný již od 1. ledna 2022, změna pravidel kontaktování za účelem marketingu bude platit s ohledem na příslušná přechodná ustanovení až po šestiměsíčním přechodném období, tj. od 1. července 2022.

Nová právní úprava definuje přechod z principu OPT-OUT na princip OPT-IN, tj. v rámci telemarketingu lze kontaktovat pouze toho, kdo ve veřejném telefonním seznamu uvedl, že si přeje být kontaktován za účelem marketingu.

Novela zákona o elektronických komunikacích nemění existující vztah mezi podnikateli a zákazníky a respektuje jej, včetně oprávněného zájmu podnikatelů ve smyslu čl. 6 odst. 1 písm. f) Nařízení GDPR, kteří v rámci komunikace se stávajícími zákazníky propagují své výrobky a služby.

Novela zákona ale nově stanovuje právní fikci, že za vytvoření účastnického seznamu se považuje také náhodné vygenerování telefonních čísel, seznam telefonních čísel bez jiných identifikačních údajů nebo seznam, ve kterém se uvádí telefonní čísla či osobní nebo identifikační údaje účastníků, kteří neuvedli, že si přejí být kontaktováni za účelem marketingu.

Český telekomunikační úřad ve spolupráci s Úřadem pro ochranu osobních údajů a Ministerstvem průmyslu a obchodu připravil společné výkladové stanovisko s odpověďmi na nejčastější otázky týkající se nových pravidel pro marketingová volání – viz https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=54296.

Cloudové vyhlášky vydané NÚKIB

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal v druhé polovině roku 2021 dvě nové cloudové vyhlášky:

  • Vyhláška č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci, je vydávána na základě zmocnění obsaženém v zákoně č. 181/2014 Sb., o kybernetické bezpečnosti. Tato vyhláška stanovuje kritéria pro ohodnocení významnosti informačního nebo komunikačního systému orgánu veřejné moci (přičemž jedním z kritérií je i ochrana osobních údajů) a jeho zařazení do jedné ze čtyř bezpečnostních úrovní tak, aby orgán veřejné moci mohl pořizovat služby cloud computingu, které naplňují požadavky příslušné bezpečnostní úrovně.
  • Vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu, provádí zákon č. 365/2000 Sb., o informačních systémech veřejné správy, a přináší soubor bezpečnostních požadavků rozdělených do bezpečnostních úrovní, které musí poskytovatelé cloud computingu naplnit, aby mohli být spolu se svými nabízenými službami zapsáni v katalogu cloud computingu.

Orgány veřejné správy mohou využívat jen ty cloudy, které jsou uvedené ve speciálním katalogu. Zápis do katalogu cloud computingu, a tedy i splnění podmínek uvedených ve vyhlášce, je pro poskytovatele služeb cloud computingu dobrovolným krokem (ne každý poskytovatel cloud computingu má zájem nabízet své služby orgánům veřejné správy). Předpokládá se, že zapsání do katalogu služeb cloud computingu může být výhodou i v soukromém sektoru, a to z pohledu konkurenceschopnosti.

Sběr informací o očkování proti COVID-19 z pohledu GDPR

Koncem minulého roku ÚOOÚ vydal stanovisko k problematice očkování proti COVID-19 z pohledu ochrany osobních údajů, které definuje následující:

  • V době platnosti relevantního opatření Ministerstva zdravotnictví řešícího problematiku testování a očkování proti COVID-19 a v návaznosti na povinnosti stanovené opatřeními platnými v daném čase, jsou zaměstnavatelé povinni zkoumat bezinfekčnost svých zaměstnanců, tj. zjišťovat informace, zda je zaměstnanec očkován proti COVID-19 či nikoliv.
  • Údaj o očkování proti COVID-19 spadá do tzv. zvláštní kategorie osobních údajů. Zpracování tohoto osobního údaje je umožněno pouze tehdy, kdy lze aplikovat některou z výjimek uvedených v čl. 9 odst. 2 Nařízení GDPR. V souvislosti s vydanými opatřeními je zpracování umožněno např. na základě výjimky dle čl. 9 odst. 2 písm. g) Nařízení GDPR, tedy z důvodu významného veřejného zájmu.
  • Pokud ale zaměstnavatel chce získávat informace o očkování svých zaměstnanců proti COVID-19 z jiných důvodů, než v souvislosti s aktuálními opatřeními (např. z důvodu interního přehledu rizik), musí dostatečně vyhodnotit, zda je to třeba z důvodu ochrany zdraví a osob na pracovišti či nikoliv (pokud nikoliv, nemělo by ke sběru těchto informací docházet).

Ve Sbírce zákonů byla v prosinci 2021 publikována vyhláška Ministerstva zdravotnictví č. 466/2021 Sb., kterou se mění vyhláška č. 537/2006 Sb., o očkování proti infekčním nemocem, ve znění pozdějších předpisů. Tato vyhláška definuje povinnost pravidelného očkování proti nemoci COVID-19 u osob starších 60 let a zvláštního očkování proti této nemoci u dalších vybraných skupin fyzických osob (např. zaměstnanců zdravotních a sociálních služeb, krajských hygienických stanic, bezpečnostního sboru atd.).

Požadavek EK na označování politických reklam na internetu

Koncem roku 2021 Evropská komise zveřejnila návrh pravidel, která zavádějí povinné označování politické reklamy týkající se reklam zadávaných politickými subjekty nebo v jejich zájmu a reklam o konkrétním společenském tématu s cílem ovlivnit chování voličů. Tyto placené příspěvky budou muset obsahovat jasně viditelný údaj o zadavateli, ceně, zdroji financování či volbách, kvůli kterým reklama vznikla.

Navrhovaná pravidla řeší i tzv. targeting, tj. inzerci pomocí technologií přesně zacílenou na úzké skupiny obyvatel. V EU má být zcela zakázáno využívat pro tyto účely nejcitlivější osobní údaje, jako jsou rasový původ, náboženské přesvědčení či sexuální orientace.

U cílených reklam bude muset být patrné, na základě jakých údajů se zobrazují konkrétnímu člověku, který pak bude mít možnost jejich sledování odmítnout.

Evropská komise usiluje o konečné schválení pravidel do roku 2023. Kdo povinnost nesplní, tomu bude hrozit pokuta. Velkým americkým firmám (např. Meta či Google), které mají z politických reklam příjmy ve výši stovek milionů dolarů ročně, může v krajním případě hrozit pokuta ve výši až čtyř procent jejich celosvětového obratu. Tyto společnosti na základě dřívějších dohod s Evropskou komisí již dobrovolně zavedly některá omezení týkající se politické inzerce.

Zpracování osobních údajů zaměstnanců při poskytování zaměstnaneckých benefitů

Zpracování osobních údajů zaměstnanců při poskytování různých zaměstnaneckých benefitů vychází z dohody zaměstnavatele se zaměstnancem o poskytnutí benefitu, v rámci které se zaměstnavatel zaváže k poskytnutí daného benefitu. Pokud zaměstnanec projeví o benefit zájem, dochází k účelnému zpracování osobních údajů v souvislosti s poskytovaným benefitem, tj. i k předání osobních údajů zaměstnance případnému dalšímu příjemci – poskytovateli služby, pokud je jím benefit zajišťován.

Úřad pro ochranu osobních údajů ve svém vyjádření jednoznačně uvedl, že právním důvodem pro předmětné zpracování osobních údajů zaměstnance při poskytování benefitů je článek 6 odst. 1 písm. b) Nařízení GDPR, tedy plnění smlouvy, a to i v případě, že k poskytnutí benefitu se zaměstnavatel zavázal v kolektivní smlouvě či právo na benefity stanovil v rámci vnitřního předpisu zaměstnavatele.

V závislosti na různých druzích benefitů je nutné podle čl. 13 Nařízení GDPR poskytnout zaměstnancům adekvátní informaci o nutném předání osobních údajů poskytovateli benefitu a též i o rozsahu, v jakém budou předány, nicméně není nutné ani vhodné s takovým předáním vyžadovat souhlas zaměstnance, neboť právním důvodem zpracování není souhlas, ale plnění uzavřené smlouvy.

Monitorování e-mailů zaměstnanců zaměstnavatelem

Zaměstnavatel není oprávněn sledovat, monitorovat a zpracovávat obsah korespondence svých zaměstnanců. Zaměstnavatel případně smí u svých zaměstnanců pouze sledovat počet došlých a odeslaných e-mailů, případně (tj. zejména vznikne-li podezření ze zneužití pracovních prostředků, resp. využití k jiným než pracovním účelům) včetně hlavičky, tj. komu píší a od koho je dostávají. Tato činnost je zpracováním osobních údajů zaměstnance, byť za uvedených podmínek oprávněným zpracováním, a je tedy nezbytné dodržovat všechny zákonem stanovené povinnosti.

Monitorování e-mailů zaměstnanců z pohledu ochrany osobních údajů:

  • Zaměstnavatel nesmí vstupovat do soukromé e-mailové schránky svého zaměstnance a seznamovat se s e-maily v ní obsaženými, jelikož by takovým jednáním porušil právo zaměstnance na soukromí (resp. listovní tajemství).
  • Zaměstnavatel smí kontrolovat obsah, např. v rámci DLP nebo jiných automatizovaných prostředků (hromadné scanování nežádoucích informací – slova, čísla apod.).
  • Při podezření na trestnou činnost lze dožádat Policii ČR, která obsah schránky převezme pro posouzení.
  • Pokud by chtěl zaměstnavatel použít záznamy elektronické pošty jako důkaz v pracovněprávním sporu se zaměstnancem o neplnění pracovních povinností, měl by být tento důkaz v kontextu zásady ochrany soukromí zaměstnance nepřípustný a soud by k němu neměl přihlédnout.
  • Výše uvedená praxe by měla být ukotvena vnitřním předpisem a zaměstnanci by o ní měli být (alespoň formou zveřejnění tohoto vnitřního předpisu) informováni.
  • V předpise by měly být definovány situace, kdy k takovému nahlížení může dojít a kdo o něm může rozhodnout.
  • V případě ukončení pracovního poměru zaměstnance má být e-mailová schránka zrušena (a např. zajištěna automatická odpověď odesílateli). Je nepřípustné aktivně odpovídat na došlé e-maily jakékoli povahy přímo z dotčené soukromé e-mailové adresy.

Vliv novely informačního zákona na ochranu osobních údajů

V Poslanecké sněmovně se nachází dva návrhy novely zákona č. 106/1999 Sb., o svobodném přístupu k informacím, který stanovuje pravidla pro poskytování informací a práva svobodného přístupu k těmto informacím.

První návrh novely – návrh Ministerstva vnitra si klade za cíl ulehčit povinným subjektům poskytování informací prostřednictvím opatření, která budou jednak účinně bránit zneužití práva na informace na straně žadatelů, jednak povedou k usnadnění vyřizování žádostí o informace. Novela zákona řeší zejména následující změny:

  • zveřejnění poskytované informace způsobem umožňujícím dálkový přístup nejméně po dobu tří let (dosud tato doba nebyla nijak upravena), týká se pouze poskytnuté informace, nikoliv osobních údajů žadatele nebo třetích osob uvedených v poskytnuté informaci;
  • rozšíření ochrany informací ohledně poměrů osob (nikoliv již jen majetkových) a tedy rozšíření i obligatorních důvodů, jež povinnému subjektu zakazují poskytnout informaci;
  • výslovné vyloučení základních osobních údajů příjemce veřejných prostředků ze zveřejňovaných odpovědí;
  • možnost odmítnout poskytnutí informace z důvodu nátlaku či nepřiměřené zátěže pro povinný subjekt, nebo pokud povinný subjekt nemá zákonnou povinnost informaci mít;
  • za odmítnutí poskytnutí informace se nepovažuje neposkytnutí osobních údajů, obchodního či bankovního tajemství;
  • neposkytnutí informace v případech, kdy poskytnutí informace může ohrozit rovnost účastníků soudního, rozhodčího, správního nebo obdobného řízení;
  • oprávnění povinného subjektu požadovat zálohu na náklady (výše zálohy by neměla přesáhnout 60 % odhadovaných nákladů spojených s vyhledáním informací a její max. výše zároveň bude moci dosáhnout pouze částky 2.000,- Kč).

Druhý návrh novely zákona vychází ze směrnice Evropského parlamentu a Rady 2003/98/ES ze dne 17. listopadu 2003, o opakovaném použití informací veřejného sektoru. Tato novela zákona řeší zejména detailní vymezení povinných subjektů, definici otevřených dat a dynamických dat, povinnost evidence otevřených dat, definici registru a umožnění dálkového přístupu k datům v nich obsažených a jejich označení za otevřená data, definici datových souborů s vysokou hodnotou, úpravu licenčních smluv k poskytování informací a práv vlastníků databáze atd.

Správa sociálních sítí s ohledem na ochranu osobních údajů

V současné době většina organizací / společností využívá ke své prezentaci, marketingu či externí komunikaci různé sociální sítě (Facebook, LinkedIn, Twitter, Instagram atd.). Je nezbytné, aby organizace / společnost dodržovala při správě účtu dané sociální sítě bezpečnostní pravidla a tím minimalizovala riziko porušení zabezpečení osobních údajů.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) doporučuje dodržovat základních 18 pravidel pro správu sociálních sítí, protože neodborně spravovaná sociální síť může být otevřenou bránou, přes kterou se potencionální útočník může dostat jak k osobním údajům, jež správce sociální sítě zpracovává o svých zaměstnancích, dodavatelích či zákaznících, tak i k jiným důvěrným interním informacím organizace / společnosti.

Doporučení NÚKIB ke správě účtu na sociální síti:

  • Pojmenovat oficiální účet organizace na sociální síti stejným či jasně ztotožnitelným názvem s danou organizací.
  • Oficiální účet na sociální síti vést ve správě a vlastnictví organizace tak, aby v případě personálních změn nemuselo docházet k zakládání nových účtů či jejich přejmenovávání, které je často problematické.
  • Jasně definovat přístupová práva vč. určení zastupitelnosti.
  • Zaregistrovat na sociálních sítích i alternativní názvy oficiálních účtů organizace.
  • Pro přístup do účtu používat dvoufaktorovou autentizaci (je-li to možné).
  • Pro účet vytvořit speciální e-mailovou adresu, která bude používána výhradně a pouze pro jeho správu. Do předmětného e-mailového účtu přistupovat ze zabezpečené sítě a zařízení.
  • Nepoužívat soukromá zařízení k přihlašování k oficiálnímu účtu organizace.
  • Dodržovat politiku bezpečné tvorby a užívání hesel.
  • Pro přihlašování nepoužívat odkazy v e-mailu či zkracovače URL.
  • Nepřihlašovat se prostřednictvím nezabezpečených či neznámých WiFi sítí.
  • Pro přihlašování mimo kancelář využít služby VPN.
  • Pravidelně aktualizovat jak zařízení, z nichž se zástupce organizace přihlašuje, tak i aplikace, jejichž prostřednictvím sociální sítě spravuje.
  • K přistupování k účtu používat pouze důvěryhodné aplikace z oficiálních zdrojů (např. Google Play nebo App Store).
  • Zajistit status ověřeného účtu.
  • Provádět pravidelné kontroly a audity dodržování výše uvedených pravidel.
  • Kontrolovat, zda se osoba pracující se sociální sítí z účtu bezpečně odhlásila.
  • Nastavit politiku užívání sociálních sítí, která obsahuje i výše uvedená pravidla.
  • Mít zpracovaný plán, jak postupovat v případě incidentu (např. při ztrátě přístupu k účtu).

Doložení právního titulu u osobních údajů zpracovávaných zpracovatelem

Nejvyšší správní soud zamítl kasační stížnost společnosti SMS finance, a.s. proti rozhodnutí Městského soudu v Praze, ve kterém pro nedůvodnost zamítl správní žalobu této společnosti proti rozhodnutí Úřadu pro ochranu osobních údajů.

V předmětném rozhodnutí ÚOOÚ bylo společnosti SMS finance, a.s. uloženo provést výmaz osobních údajů fyzických osob, vůči kterým je v postavení správce, a k jejichž zpracování nedoložila adekvátní právní titul podle čl. 6 Nařízení GDPR. Jednalo se zejména o osobní údaje získané prostřednictvím vázané zástupkyně této společnosti (spolupracovnice poskytující a propagující služby jménem společnosti), která oslovila potenciálního klienta na základě dat získaných bez řádného právního titulu.

Nejvyšší správní soud ve svém rozsudku potvrdil závěr ÚOOÚ, že společnost je v postavení správce i ve vztahu k osobním údajům, jež pro ni zpracovávají samostatní zprostředkovatelé, neboť určila účel tohoto zpracování. Nejvyšší správní soud ve svém odůvodnění konstatoval, že i když zpracovatel osobních údajů ve své činnosti pochybí, konečnou odpovědnost za správné zpracování osobních údajů má správce, v jehož prospěch vyvíjí činnost.

Správci klíčových informačních systémů musí zabezpečit své e-mailové schránky

Jak jsme vás opakovaně informovali, důrazně nedoporučujeme využívat e-mailovou komunikaci pro předávání osobních údajů mimo doménu organizace / společnosti.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal 11. října 2021 opatření obecné povahy stanovující tzv. ochranné opatření podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti – opatření stanovuje způsoby zvýšení ochrany informačních systémů, služeb a sítí elektronických komunikací.

Dle tohoto ochranného opatření budou muset správci a provozovatelé informačních systémů, které jsou klíčové pro fungování státu a bezpečí jeho obyvatel, zabezpečit své e-mailové schránky. Komunikace prostřednictvím e-mailu je velmi rozšířená a v podstatě nezastupitelná, ale bohužel nepatří k nejbezpečnější formě komunikace. Z tohoto důvodu NÚKIB vypracoval sérii opatření, která výrazně komplikují odposlouchávání této komunikace či její podvržení.

Opatření je povinné pro řadu institucí, které spadají pod zákon o kybernetické bezpečnosti (ministerstva, významné úřady, kraje vč. hl. m. Prahy atd.), a dotýká se i subjektů soukromého sektoru, u nichž by fungování elektronické pošty mohlo mít vliv na řádné poskytování jejich služeb.

Ministerstva, úřady a společnosti mají na zavedení tohoto opatření různě dlouhé lhůty. Státní instituce musí některá opatření zavést již k 1. lednu 2022, další pak k začátku předsednictví ČR v Radě EU, tedy do 1. července 2022. Povinné osoby ze soukromého sektoru mají lhůtu až od 1. ledna 2023.

Způsoby zvýšení zabezpečení jsou popsány v samotném textu ochranného opatření https://www.nukib.cz/download/uredni_deska/2021-10-08_OchranneOpatreni_final.pdf. NÚKIB zároveň vydal podrobnou metodiku (viz https://www.nukib.cz/download/uredni_deska/2021-10-08_Metodika_final.pdf), která slouží jako návod k zavedení zvýšení ochrany e-mailové komunikace.

Revidované znění standardních smluvních doložek pro předávání osobních údajů do třetích zemí

Při předávání osobních údajů mimo Evropskou unii (tj. do třetích zemí nebo mezinárodním organizacím s nedostatečnou úrovní ochrany osobních údajů) musí od 27. září 2021 nově uzavírané smlouvy mezi dvěma správci osobních údajů, nebo mezi správce osobních údajů a zpracovatel osobních údajů v třetí zemi obsahovat revidované standardní smluvní doložky pro předávání osobních údajů mimo EU (standardní smluvní doložka je vzorový text smlouvy schválený Evropskou komisí).

Stávající uzavřené smlouvy musí přejít na tyto revidované standardní smluvní doložky do 27. prosince 2022.

Samotný text standardní smluvní doložky (viz https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32021D0914&qid=1623166912410 a https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32021D0915&qid=1623166912410) nesmí být měněn nebo doplňován, povinné je pouze doplnit údaje, kde to standardní smluvní doložka vyžaduje – v textu doložek je umožněna volba z nabízených možností, doplnění např. časového období v určených polích či doplnění příloh popisujících náležitosti datového toku.

Povinnost implementovat vnitřní oznamovací systém (Whistleblowing – Ochrana oznamovatelů)

Směrnice Evropského parlamentu a rady (EU) 2019/1937 o ochraně osob, které oznamují porušení práva Unie (dále také Směrnice) přináší organizacím v soukromém i veřejném sektoru nové povinnosti, především zavedení tzv. vnitřního oznamovacího systému a ochrany osob, které oznámí porušení práva Unie, o kterém se dozví, před odvetnými opatřeními ze strany zaměstnavatele.

Návrh zákona o ochraně oznamovatelů zaváděl přechodné období pro implementaci do 31. března 2022. Jelikož tento zákon bohužel nebude v původně plánovaném termínu přijat, nastává povinnost zavedení tzv. vnitřního oznamovacího systému v termínu stanoveném Směrnicí (EU) 2019/1937, tedy do 17. prosince 2021, a to pro státní orgány, orgány územních samosprávných celků (orgány krajů a obcí s více než 10.000 obyvateli) a další veřejné instituce (např. VZP, veřejné vysoké školy, ČEZ atd.).

Povinnost zavést vnitřní oznamovací systém se na základě přímého účinku Směrnice (EU) 2019/1937 tedy nyní netýká škol ani dalších příspěvkových organizací měst, obcí či krajů, a to z důvodu nedostatečné vazby na stát jakožto entitu, na kterou přímý účinek Směrnice dopadá.

Společnost Equica, a.s. nabízí své služby při zavedení systému ochrany oznamovatelů a zajištění role Prošetřovatele, tj.:

  • Zhodnocení současného stavu a reálných možností organizace v oblasti zajištění ochrany Oznamovatelů.
  • Zpracování návrhu a nastavení procesu ochrany Oznamovatelů, včetně odpovídající interní dokumentace.
  • Zpracování povinně zveřejněných informací pro Oznamovatele.
  • Školení a interní osvěta ve vztahu k možnostem oznamování.
  • Zprovoznění / nastavení a správa vhodného elektronického nástroje sloužícího jako vnitřní oznamovací kanál organizace.
  • Plnění role Prošetřovatele oznámení:
    • Přijímání oznámení (elektronické, písemné, osobní) prostřednictvím vnitřního oznamovacího systému organizace.
    • Řádné posuzování důvodnosti oznámení učiněných prostřednictvím vnitřního oznamovacího systému organizace.
    • Řešení přijatých oznámení – návrh vhodných opatření vedoucích k nápravě nebo předejití protiprávnímu stavu v návaznosti na podané oznámení.
    • Informování Oznamovatele o přijetí oznámení a o výsledcích posouzení důvodnosti oznámení.
    • Bránění odvetným opatřením vůči Oznamovatelům.
    • Kontrola způsobu řešení zjištěných porušení pravidel.
    • Vedení a správa evidence přijatých oznámení a způsobu jejich řešení.
    • Zajištění archivace přijatých oznámení a způsobu jejich řešení.

Občanské průkazy z pohledu aktuálně platné legislativy

V rámci českého právního řádu byl v srpnu 2021 nahrazen zákon č. 328/1999 Sb., o občanských průkazech novým zákonem č. 269/2021 Sb.

Nový zákon č. 269/2021 Sb., o občanských průkazech upravuje práva, povinnosti a působnost na úseku občanských průkazů a naplňuje Nařízení Evropského parlamentu a Rady (EU) 2019/1157 ze dne 20. června 2019 o posílení zabezpečení průkazů totožnosti občanů Unie a povolení k pobytu vydávaných občanům Unie a jejich rodinným příslušníkům, kteří vykonávají své právo volného pohybu. Umožňuje tak, aby s tímto osobním dokladem lidé mohli nadále volně cestovat v rámci Evropské unie.

Od srpna 2021 se vydávají strojově čitelné občanské průkazy s biometrickými údaji, kterými jsou zobrazení obličeje a u občanů starších 12 let otisky prstů, uložené v nosiči dat. Tím se zajišťuje soulad s Nařízením Evropského parlamentu a Rady (EU) 2019/1157.

Nové občanské průkazy se liší od předchozího vzoru tím, že na přední straně v levém horním rohu je uveden kód země tvořený dvěma písmeny vydávajícího státu vytištěný inverzně na modrém obdélníku v kruhu tvořeném dvanácti žlutými hvězdami. Na zadní straně je vyobrazen symbol biometrických údajů. Do občanských průkazů se již nezapisují akademické tituly.

Podle § 39 nového zákona o občanských průkazech je zakázáno:

  • odebírat občanský průkaz při vstupu do objektů nebo na pozemky;
  • přijímat občanský průkaz jako zástavu;
  • pořizovat kopii občanského průkazu bez souhlasu držitele občanského průkazu;
  • zpracovávat údaje uvedené v občanském průkazu a data pro elektronické využití občanského průkazu bez souhlasu držitele občanského průkazu (je ale umožněno nahlédnutí do občanského průkazu v souvislosti s ověřováním totožnosti, které vyžaduje nebo umožňuje právní předpis).

Prokazování totožnosti a zpracování osobních údajů

Prokazování totožnosti je zákonná povinnost občana České republiky vůči orgánům veřejné moci, fyzickým a právnickým osobám (např. banky, investiční společnosti, pojišťovny, auditoři, účetní atd.) a dále v rámci soukromoprávních vztahů (např. při uzavření smlouvy, prokázání totožnosti návštěvníka objektu, který není určen k běžným návštěvám veřejnosti atd.).

Občané České republiky mohou k prokazování totožnosti využít:

  • občanský průkaz,
  • cestovní doklad,
  • jiný doklad (např. řidičský průkaz, služební průkaz), a to za předpokladu, že doklad obsahuje i podobenku svého držitele a je to druhou stranou akceptováno.

Dle Nařízení GDPR není zpracováním osobních údajů samotné zjištění totožnosti fyzické osoby na základě předloženého průkazu. Zpracováním osobních údajů je zápis / uložení získaných osobních údajů na nosič informací za účelem jejich zpracování v evidenci.

Pořízení kopie průkazu totožnosti lze buď na základě příslušného zákona, nebo na základě dobrovolného souhlasu. Vzhledem ke zneužitelnosti dokladu totožnosti ke krádeži identity fyzické osoby stanovují příslušné zákony zákaz pořizovat jakýmikoliv prostředky kopie těchto průkazů bez prokazatelného souhlasu občana, kterému byl průkaz vydán, pokud zvláštní zákon nebo mezinárodní smlouva, kterou je Česká republika vázána, nestanoví jinak. Neoprávněné pořízení kopie občanského průkazu nebo cestovního dokladu je přestupkem fyzické osoby, která kopii pořídila.

Při zápisu osobních údajů z průkazu totožnosti do vedené evidence je nezbytné dodržovat zásadu minimalizace údajů, tj. ukládat pouze ty údaje, které jsou pro určitý účel nezbytně potřebné. Pokud není rozsah shromažďovaných údajů výslovně stanoven aktuálně platnou legislativou, je třeba posoudit nezbytnost rozsahu shromažďovaných údajů.

Novela zákona o elektronických komunikacích čeká na podpis prezidenta

Sněmovna schválila 15. září 2021 novelu zákona o elektronických komunikacích, která upravuje i pravidla pro ukládání cookies a telemarketingu. Nyní novela zákona čeká na podpis prezidenta.

Novela zákona o elektronických komunikacích zavádí takzvaný OPT-IN režim pro ukládání cookies – tedy ukládání cookies jen na základě výslovného souhlasu návštěvníka webových stránek, to vše v souladu s legislativou Evropské unie. Nadále bude platit výjimka týkající se nezbytných cookies, které jsou potřeba proto, aby webové stránky, mohly být vůbec zobrazeny.

Novela zákona stanovuje i regulaci telemarketingu. Režim OPT-IN bude platit i pro telemarketing − zákazní­ky lze tedy obvolávat s nevyžádanou nabídkou pouze v případě, že s tím adresát sou­hlasil v rámci veřejných seznamů. Pokud společnost provozující telemarketing využívá svou databázi telefonních čísel na základě smluvního vztahu či oprávněného zájmu, bude moct i nadále subjekt údajů kontaktovat.

Registrační značka silničního vozidla z pohledu osobního údaje

Dle rozhodnutí Nejvyššího správního soudu může být registrační značka silničního vozidla osobním údajem, ale ne v každém případě. Registrační značka se totiž nevztahuje k vozidlu, ale k určité fyzické osobě – k vlastníkovi nebo provozovateli vozidla.

Registrační značka silničního vozidla je osobním údajem pouze v případě, existují-li jakékoli osoby nebo orgány, které by daný subjekt údajů dokázaly na základě předmětné informace – ve spojení s jimi dostupnými doplňujícími údaji – identifikovat, tj. je-li subjekt údajů pro žadatele bez dostatečných překážek ztotožnitelný.

V případě vznesení žádosti o poskytnutí informace dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, lze žadateli poskytnout seznam registračních značek silničních vozidel, kterým byla např. vydána karta rezidenčního parkování v konkrétní části města, ale pouze bez dalších připojených osobních údajů vlastníků vozidel, tj. bez jména a příjmení vlastníka vozidla, jeho bydliště atd.

Problematika zpracování osobních údajů z volně přístupných rejstříků na internetu

Státní rejstříky volně přístupné na internetu jako je např. živnostenský rejstřík, obchodní rejstřík, insolvenční rejstřík či katastr nemovitostí, jsou zdroje údajů, které mají určitou veřejnoprávní povahu (nejedná se tedy o soukromé zdroje, na nichž uživatelé zveřejňují údaje sami o sobě).

Veřejné rejstříky lze rozdělit na samotné veřejné rejstříky a na tzv. open data (informace a čísla bezplatně a volně dostupná na internetu ve strukturované a strojově čitelné podobě, která umožňuje jejich jednoduché další zpracování).

Dle rozhodnutí Úřadu pro ochranu osobních údajů lze v případě zpracování open dat uplatnit princip zpracování na základě oprávněného zájmu, ale v případě ostatních veřejných rejstříku, které nejsou open daty, je takové zpracování vyloučeno. Zpracování osobních údajů z veřejných rejstříků je dle rozhodnutí ÚOOÚ možné pouze na základě souhlasu samotného subjektu údajů.

V rámci veřejných rejstříků tedy nelze provést zákonné zpracování osobních údajů. Veřejné rejstříky umožňují pouze nahlédnutí a pořídit si z nich kopie nebo výpisy, neumožňují údaje získané z rejstříku zveřejňovat na webových stránkách organizace.

Prověření poskytovaných informací z Centrálního registru oznámení

Úřad pro ochranu osobních údajů zaslal Ministerstvu spravedlnosti ČR dopis z důvodu zjištění, zda ministerstvo v současné době poskytuje informace z Centrálního registru oznámení, příp. na základě jakého právního předpisu, v jakém rozsahu, a zda poučuje příjemce takových údajů o dalším nakládání s osobními údaji.

Tímto dopisem ÚOOÚ reagoval na informaci, podle které Ministerstvo spravedlnosti ČR zpřístupňuje podaná oznámení o střetu zájmů na základě zákona č. 106/1999 Sb., o svobodném přístupu k informacím.

Ústavní soud totiž svým nálezem z 11. 2. 2020 zrušil protiústavní ustanovení zákona o střetu zájmů, uplynutím 31. 12. 2020, z toho důvodu, aby nebyly majetkové poměry veřejných funkcionářů, kterými jsou i představitelé územních samosprávných celků, nekontrolovatelně přístupné komukoliv na internetu.

Dle ÚOOÚ se z hlediska ochrany osobních údajů zatím nepodařilo tuto problematiku ukotvit legislativně. Podle rozsudku Nejvyššího správního soudu z 20. 2. 2019 spadají informace o majetkových poměrech osoby do samého jádra ústavně chráněného soukromí. Podáním oznámení na základě zákona č. 159/2006 Sb., o střetu zájmů majetkové poměry veřejného funkcionáře dle soudu zásadně neztrácejí povahu soukromé informace (osobního údaje) a evidenční orgán má povinnost zpracovávat je pouze v souladu se zákonem.

Zpráva o pověsti na vyžádání orgánů činných v trestním řízení z pohledu ochrany osobních údajů

Zpráva o pověsti se vyhotovuje na základě písemné žádosti jak příslušných orgánů, tak samotných fyzických osob. Vzhledem k obsahu zprávy o pověsti, jež se mimo jiné vyjadřuje k osobnosti a chování posuzované osoby, může jejím sepsáním dojít k zásahu do osobnostních práv takové osoby.

V případě vydání zprávy o pověsti na žádost orgánu činného v trestním řízení vyplývá plnění povinnosti z trestního řádu (zákon č. 141/1961 Sb.), tj. potřeba zjištění, zda obviněný (obžalovaný či odsouzený) vede řádný život. Vydání zprávy o pověsti je tedy důvodem, který dle stanoviska Nejvyššího soudu zpravidla ospravedlňuje zásah do osobnostních práv dotčené osoby, které se zpráva týká, jestliže informace v ní uvedené nepřesahují její funkci a případný zásah do osobnostních práv dotčené osoby je nevyhnutelným průvodním jevem splnění zákonem stanovené povinnosti a je zcela přiměřený okolnostem daného případu.

Při vypracování zprávy o pověsti je tedy třeba postupovat tak, aby informace ve zprávě uvedené nepřesahovaly funkci posuzované osoby a aby případný zásah do osobnostních práv dotčené osoby byl zcela přiměřený okolnostem daného případu.

Při zpracování zprávy o pověsti na vyžádání orgánů činných v trestním řízení je nezbytné zohlednit i relevantní lhůtu („přiměřenou dlouhou dobu“) po kterou se zjišťuje, zda obviněný vede řádný život (pokud doba, ohledně níž má být zpráva vypracována, není výslovně uvedena). Doba, která je relevantní pro posouzení řádného života může být ohraničena např. zkušební dobou (podmíněného odsouzení apod.), případně dobou od právní moci odsuzujícího rozsudku do skončení výkonu trestu (obecně prospěšné práce atd.). Ale např. v případě zjištění existence polehčující okolnosti podle trestního řádu se text zákona omezuje na konstatování, že pachatel „vedl před spácháním trestného činu řádný život“.

Aktuálně platná legislativa problematiku délky posuzovaného období explicitně neřeší. V případě, že si dožádaná instituce / organizace není délkou posuzovaného období jistá, je vhodné požádat příslušný orgán činný v trestním řízení o zpřesnění posuzovaného období.

Povinnost implementovat vnitřní oznamovací systém (Whistleblowing – Ochrana oznamovatelů)

Směrnice Evropského parlamentu a rady (EU) 2019/1937 o ochraně osob, které oznamují porušení práva Unie (dále také Směrnice) přináší organizacím v soukromém i veřejném sektoru nové povinnosti, především zavedení tzv. vnitřního oznamovacího systému a ochrany osob, které oznámí porušení práva Unie, o kterém se dozví, před odvetnými opatřeními ze strany zaměstnavatele.

Členské státy EU mají povinnost Směrnici implementovat národní legislativou do 17. prosince 2021, návrh Zákona o ochraně oznamovatelů počítá s přechodným obdobím do 31. března 2022, kdy je povinný subjekt povinen vnitřní oznamovací systém a postupy pro oznamování a přijímání následných opatření zavést.

Společnost Equica, a.s. nabízí své služby při zavedení systému ochrany oznamovatelů a zajištění role prošetřovatele, tj.:

  • Plnění role prošetřovatele oznámení.
  • Návrh a nastavení procesu ochrany oznamovatelů, včetně odpovídající interní dokumentace.
  • Zpracování povinně zveřejněných informací pro oznamovatele.
  • Zprovoznění elektronického nástroje pro učinění anonymních podání oznamovatelem.
  • Přijímání (elektronické, písemné, osobní) podání oznamovatele a jejich prošetření (v součinnosti s odpovědnými pracovníky povinného subjektu) při zajištění, že se s oznámením budou seznamovat jen příslušné osoby a bude dodržen zákaz poskytovat údaje.
  • Řádné posouzení důvodnosti oznámení a informování oznamovatele o přijetí oznámení a o výsledcích posouzení důvodnosti oznámení.
  • Zajištění, aby vůči oznamovatelům nebyla v souvislosti s oznámením podniknuta jakákoliv forma odvetného opatření.
  • Zpracování vhodného opatření k nápravě.
  • Vedení evidence údajů o přijatých oznámeních a archivace oznámení podaných prostřednictvím vnitřního oznamovacího systému (v elektronické podobě) po dobu 5 let od jeho přijetí.
  • Školení a interní osvěta ve vztahu k možnostem oznamování.

Předávání osobních údajů do Velké Británie po ukončení brexitového přechodného období

Dva dny před uplynutím brexitového přechodného období přijala Evropská komise rozhodnutí o odpovídající ochraně osobních údajů ve Velké Británii. Velká Británie prozatím přijala stejná pravidla ochrany osobních údajů, jakými byla vázána v době členství v Evropské unii pod pravidly Nařízení GDPR.

Rozhodnutí Evropské komise o odpovídající ochraně osobních údajů ve Velké Británii má však omezenou platnost čtyři roky (poté bude nutný nový přezkum). Poprvé v historii tedy Evropská komise přistoupila k implementaci tzv. „sunset clause“, tedy doložky o ukončení platnosti a účinnosti daného rozhodnutí po uplynutí stanovené doby.

Nové standardní smluvní doložky pro předávání osobních údajů do třetích zemí

Evropská komise v červnu 2021 vydala nová prováděcí rozhodnutí, která obsahují zaktualizovanou verzi standardních smluvních doložek pro předávání osobních údajů mimo EU – do třetích zemí nebo mezinárodním organizacím s nedostatečnou úrovní ochrany osobních údajů. V rámci aktualizace původní verze standardních smluvních doložek došlo k zjednodušení jejich obsahu i použití, standardní smluvní položky se sjednotily a přizpůsobily obsahu a požadavkům GDPR (viz https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32021D0914&qid=1623166912410 a https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32021D0915&qid=1623166912410).

Standardní smluvní doložka je vzorový text smlouvy schválený Evropskou komisí, kterou mezi sebou uzavřou zainteresované strany, tj. správci osobních údajů mezi sebou, nebo správce osobních údajů a zpracovatel osobních údajů v třetí zemi apod.

Důležité je nezapomenout, že smluvní vztah ošetřující předávání osobních údajů do třetí země s nedostatečnou úrovní ochrany osobních údajů musí zahrnovat nejen standardní smluvní doložky, ale i zpracovatelskou smlouvu se všemi náležitostmi vyžadovanými příslušnými ustanoveními GDPR.

Problematika home office z pohledu bezpečnostních rizik

I když onemocnění Covid-19 pomalu odeznívání, tak mnoho zaměstnavatelů nadále umožňuje svým zaměstnancům částečnou práci z domova, tzv. home office. Práce z domova však sebou přináší jistá bezpečnostní rizika, která mohou mít dopad do oblasti ochrany osobních údajů. Proto je vhodné pravidla home office ošetřit interní směrnicí.

Stěžejní zásady pro výkon práce v režimu home office:

  • Veškeré činnosti provádí výlučně zaměstnanec, nepověří jimi třetí osobu.
  • Pokud má zaměstnanec k dispozici vybavení poskytnuté společností (HW, SW, data) – zákaz poskytnutí vybavení třetím osobám, zajištění šifrování dat, uložení pod uzamčením, nepřipojovat k zařízení žádný další HW, ani tiskárny.
  • Pokud zaměstnanec pro práci využívá vlastní vybavení, zřídí na něm samostatný účet jen pro práci, zabezpečený heslem a po skončení home office tento účet zruší.
  • Vhodně uspořádat pracovní místo – obrazovky / monitory umístit tak, aby do nich nemohly nahlížet třetí osoby, při opuštění pracovního místa zabezpečit zařízení i data proti přístupu třetí osoby.
  • Pravidelně ukládat data, aby nedošlo k jejich ztrátě. Zákaz ukládat data na soukromé nosiče nebo veřejná úložiště internetu.
  • Zákaz sdílení přístupových údajů třetím osobám, včetně rodinných příslušníků a osob ve společné domácnosti.
  • Zákaz tisku dokumentů, ve výjimečných případech pak zajištění zabezpečeného uložení a likvidace v kanceláři společnosti (ne popelnice).
  • Zákaz přeposílat cokoliv na soukromé e-mailové adresy.
  • Zákaz účasti na videokonferencích za přítomnosti třetích osob, na veřejných prostranstvích nebo v místech možného odposlechu (otevřené okno, zahrada, balkon, …).
  • Minimalizovat přemisťování papírových dokumentů, dodržovat opatření definovaná společností pro převoz písemné dokumentace (přenášet dokumenty v uzavřených složkách a zavazadlech, nenechávat je bez dozoru, …).
  • Ohlásit neprodleně vedení společnosti jakékoliv porušení zabezpečení (incident) nebo podezření na porušení zabezpečení (náhodné nebo protiprávní zničení, ztráta, změna nebo neoprávněné poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů, odcizení, porucha nebo proniknutí malware).
  • Respektovat interní směrnici společnosti o zpracování osobních údajů.
  • Umožnit zaměstnavateli kontrolu dodržování uvedených pravidel, při zjištění nedostatků neprodleně zjednat nápravu.

Skartace prováděná externí společností

V případě, že organizace využívá pro likvidaci nosičů dat (např. písemností, CD / DVD, pevných disků atd.) služby externí společnosti, tak s ní musí mít uzavřenou zpracovatelskou smlouvu, neboť z pohledu ochrany osobních údajů je externí skartační společnost zpracovatelem osobních údajů.

Zpracovatelská smlouva (smlouvu o zpracování osobních údajů) definuje smluvní vztah mezi správcem osobních údajů a zpracovatelem osobních údajů, kterého správce pověřil, aby pro něj zpracovával data – osobní údaje. Externí skartační společnost tedy při likvidaci nosičů dat zodpovídá za dodržování platných právních předpisů o ochraně osobních dat a utajovaných informací. V souladu s platnými právními předpisy musí vždy skartační společnost učinit dostatečná organizační a technická opatření zabraňující přístupu neoprávněných osob k likvidačnímu zařízení a případnému úniku věcných informací a osobních dat.

V zpracovatelské smlouvě, která musí být ze zákona uzavřena písemně (může existovat jen v elektronické podobě), musí být zejména uvedeno:

  • Jaké osobní údaje se budou zpracovávat.
  • Doba trvání zpracování osobních údajů.
  • Povaha a účel zpracování osobních údajů.
  • Způsob předání osobních údajů.
  • Co se s osobními údaji stane po ukončení spolupráce správce a zpracovatele osobních údajů.
  • Práva a povinnosti správce a zpracovatele osobních údajů.
  • Odpovědnost za porušení povinností.

Právo na přístup k osobním údajům – odpověď na žádost subjektu údajů

V souladu s Nařízením GDPR může každý člověk (tj. subjekt údajů) požádat státní organizaci nebo soukromou společnost (tj. správce osobních údajů) o bezplatnou informaci, jaká všechna data o něm dotyčný subjekt vede.

Při přijetí žádosti musí správce osobních údajů ověřit totožnost žadatele – subjektu údajů. Odpověď musí správce osobních údajů zpracovat bez zbytečného odkladu, nejpozději do 30 dnů od obdržení žádosti. Informace o zpracování osobních údajů žadatele musí být poskytnuty stručně, transparentně, srozumitelně a bezplatně. Ke zpoplatnění může správce osobních údajů přistoupit pokud se jedná o opakovanou žádost (např. dříve než za šest měsíců), žádost je zjevně neopodstatněná či nepřiměřená, subjekt údajů požaduje několik kopií údajů apod. Při stanovení výše možného poplatku musí správce osobních údajů vzít v úvahu správní náklady na dodání informací a na provedení případného požadovaného opatření.

Subjekt údajů by měl být v rámci odpovědi na podanou žádost o přístupu k osobním údajům informován o následujících základních údajích / informacích:

  • Jméno a kontaktní údaje správce osobních údajů.
  • Jaké kategorie osobních údajů správce o subjektu údajů zpracovává.
  • Z jakého účelu jsou zpracovávány osobní údaje subjektu údajů.
  • Právní základy pro zpracování osobních údajů.
  • Doba, po kterou dochází ke zpracování osobních údajů.
  • Komu jsou osobní údaje dále předávány nebo sdělovány, a zda jsou předávány mimo EU nebo EHP.
  • Zdroje osobních údajů, pokud nejsou získány přímo od subjektu údajů.
  • Poučení o právech subjektu údajů.

Pořizování zvukových a obrazových nahrávek z ústního jednání v rámci veřejné správy

Za splnění určitých podmínek (pokud to není omezeno zákonem) lze pořizovat záznamy druhých v rámci styku s osobami vykonávajícími veřejnou moc. K pořizování nahrávek musí nahrávající splnit jak podmínky definované občanským zákoníkem (zákon č. 89/2012 Sb.), tak zároveň i podmínky ochrany osobních údajů dle Nařízení GDPR.

Občanský zákoník stanovuje základní pravidlo, že zachytit podobu člověka jakýmkoli způsobem, ze kterého bude možné určit jeho totožnost, je možné jen s jeho svolením. Bez souhlasu dovoluje občanský zákoník zachycovat podobu z důvodu ochrany jiných práv a zájmů (např. kamerový systém chránící majetek), dále pro vědecké, umělecké, zpravodajské a úřední účely vč. vystoupení osoby vykonávající veřejnou moc v záležitosti veřejného zájmu. Vystoupení ve veřejném zájmu musí být spojeno s výkonem veřejné moci, nesmí se jednat o projev osobní povahy veřejně činné osoby v jejím volném čase.

Pořizování nahrávek a jejich případné šíření je zpracováním osobních údajů, které se řídí pravidly Nařízení GDPR. Zvukové i obrazové záznamy druhých lidí, na základě kterých lze dotyčné osoby identifikovat, spadají podle GDPR do osobních údajů. Pro nahrávání osob veřejné správy je relevantní čl. 6 odst. 1 písm. f) Nařízení GDPR stanovující, že zpracování osobních údajů je možné bez souhlasu subjektu osobních údajů v případech, kdy je to nezbytné pro účely oprávněných zájmů příslušného správce (správcem je ten, kdo s pořízeným záznamem disponuje; oprávněným zájmem je např. sledování výkonu pravomoci zvolených zástupců).

Pro nahrávání osob vykonávajících veřejnou moc (úředníci, zastupitelé, policisté atd.) není tedy potřeba jejich souhlasu, a to na základě výše uvedených výjimek z občanského zákoníku a Nařízení GDPR.

GDPR a nový stavební zákon

Dne 29.7.2021 byl ve Sbírce zákonů publikován pod č. 283/2021 Sb. nový stavební zákon, jehož hlavním cílem je zrychlit stavební řízení a zajistit dodržování stanovených lhůt. Tento nový stavební zákon má vstoupit v účinnost k 1. červenci 2023, některé změny ale začnou platit již od ledna 2022. To umožní například budovat novou síť státní stavební správy a nabírat do ní nové lidi. Stavební úřady budou spadat pod Nejvyšší stavební úřad a budou organizovány podobně jako třeba finanční správa.

Nový stavební zákon upravuje nejen působnost orgánů státní stavební správy, orgánů územního plánování a orgánů územní samosprávy v oblasti územního plánování a stavebního řádu, ale stanovuje i cíle, úkoly a nástroje územního plánování, požadavky na výstavbu a stavební řád. Upravuje rovněž podmínky pro integrovanou ochranu veřejných zájmů při územním plánování, povolování staveb a výstavbě, povinnosti osob při přípravě a provádění staveb, podmínky pro projektovou činnost a provádění staveb, některé účely vyvlastnění, oprávnění autorizovaných inspektorů a výkon kontroly.

Výkon stavebního řízení v souladu s novým stavebním zákonem se tedy bude dotýkat i oblasti zpracování a ochrany osobních údajů, protože správní orgány (Nejvyšší stavební úřad a jednotlivé stavební úřady) budou nakládat s osobními údaji účastníků stavebního řízení. Samostatnou oblastí pak budou i způsoby ukládání, archivace a likvidace osobních údajů stávajících stavebních úřadů a jejich předávání orgánům státní stavební správy.

Ve Sbírce zákonů byl pod č. 284/2021 Sb. publikován rovněž zákon, kterým se mění některé zákony v souvislosti s přijetím stavebního zákona. Jedná se o doprovodný zákon k novému stavebnímu zákonu, který mění 58 dalších zákonů.

Zpřístupnění aplikace na provedení DPIA

Francouzský dozorový úřad Commission Nationale de l‘Informatique et des Libertés (CNIL) zveřejnil koncem června 2021 novou verzi svého nástroje pro provádění posouzení vlivu na ochranu osobních údajů (DPIA).

Aplikace jednoduše provede správce osobních údajů metodikou vypracování posouzení vlivu na ochranu osobních údajů. Nástroj je dostupný ve dvaceti jazycích (i v češtině), je možné si ho zdarma stáhnout z webových stránek CNIL (https://www.cnil.fr/en/privacy-impact-assessment-cnil-releases-version-3-0-its-pia-software).

Uchovávání informací / certifikátů o provedeném očkování proti COVID-19

Zaměstnavatel může od svých zaměstnanců, kteří byli očkování proti nakažlivé nemoci COVID-19, požadovat předložení certifikátu o očkování. Certifikát o provedeném očkování, který dosvědčuje skutečnost, že dané osobě byla podána vakcína, obsahuje nejen identifikační údaje osoby včetně data narození, ale i informace o podané vakcíně.

Zaměstnavatel musí při kontrole a příp. uchovávání informací o provedeném očkování zaměstnanců dodržet zásadu minimalizace dle čl. 5 Nařízení GDPR, tj. zpracovávat pouze nezbytně nutný obsah osobních údajů. Zaměstnavatel při rozhodování o uchovávání informací či kopie certifikátu proti očkování COVID-19 zaměstnanců tedy musí zohlednit všechny okolnosti včetně možného zásahu do práv subjektů údajů a případných rizik.

Možné varianty uchovávání informací / certifikátu o provedeném očkování proti COVID-19 (dle zdůvodněného zájmu zaměstnavatele a minimalizace zpracovávaných osobních údajů):

  • zapsání informace, že zaměstnance není potřeba testovat, protože je již očkován;
  • zapsání nezbytně nutných údajů o provedeném očkování zaměstnance (datum vakcinace, číslo certifikátu apod.);
  • uchovávání částečně anonymizované kopie certifikátu o provedeném očkování.

Prozatím nejsou jednotně upřesněny informace týkající se kontrol provedeného očkování zaměstnanců proti COVID-19 zaměstnavatelem. Zaměstnavatel se tedy v současné době může pro případ kontroly očkování zaměstnanců odkazovat na informace z Očkovacího portálu občana, v rámci kterého by měl být každý z certifikátu o provedeném očkování evidován. V případě běžného zaměstnavatele by měla postačit částečně anonymizovaná podoba certifikátu o provedeném očkování či jen opsané údaje z předloženého certifikátu.

Zpřísnění pravidel pro ukládání cookies

Poslanecká sněmovna schválila 16.6.2021 novelu zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů. Novela zákona nyní míří k projednání do Senátu.

Novela zákona (bude-li schválena v plném znění) zpřísní pravidla pro získávání souhlasů na webových stránkách. Každá webová stránka si nyní může ukládat informace o svém návštěvníkovi prostřednictvím cookies (datových souborů), které patří mezi tzv. síťové identifikátory řešené v rámci GDPR.

V rámci cookies by měl být pravděpodobně od ledna 2022 plně implementován režim OPT-IN. Varianta souhlasu s cookies na webových stránkách v režimu OPT-IN znamená, že reklamní cookies se neuloží, dokud není kliknuto na „Souhlasím“ (tj. uložení cookies je možné až v okamžiku, kdy k tomu dá uživatel výslovný souhlas). Souhlas se zpracováním osobních údajů není právoplatně udělen, pokud je políčko předem zaškrtnuté a uživatel musí sám souhlas zrušit odškrtnutím.

Nařízení ePrivacy

Nařízení ePrivacy, tj. nařízení o respekto­vání soukromého života a ochra­ně osobních údajů v elektronic­kých komunikacích, se řeší již od roku 2017 a zatím nebylo přijato.

V únoru 2021 se členské státy EU dohodly na společné vyjednávací pozici pro další legislativní proces. O znění návrhu ePrivacy bude tedy nyní jednat Rada EU a Evropský parlament (finální text nařízení musí být schválen jak Radou EU, tak i Evropským parlamentem). Nařízení ePrivacy má zrušit směr­nici Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických ko­munikací.

Nařízení ePrivacy má doplňovat právní úpravu GDPR. Cílem nařízení je nastavit pravidla týkající se ochrany základních práv a svobod fyzických a právnických osob při poskytování a využívání slu­žeb elektronických komunikací. Naří­zení by mělo upravovat podmínky pro zpracování dat elektronických komu­nikací, kterými se rozumí jak jejich obsah, tak i metadata.

Bezpečnostní kamery pro osobní použití

Řada lidí využívá pro ochranu svého soukromého majetku bezpečnostní kamery. Kamery pro osobní použití za účelem ochrany soukromého majetku lze umístit v bytě (nelze je umístit na společné chodbě), v rodinném domě či na zahradě rodinného domu.

Základní pravidla pro použití bezpečnostních kamer pro ochranu soukromého majetku:

  • Zorné pole kamery musí být natočeno jen na soukromý prostor / pozemek majitele kamery, ne na veřejné prostranství či sousední pozemek.
  • Kamera bez ukládání záznamu – podléhá pouze občanskému zákoníku a Listině základních práv a svobod (právo na ochranu soukromí, právo na ochranu zdraví a majetku), nepodléhá Nařízení GDPR.
  • Kamera s ukládáním záznamu – podléhá Nařízení GDPR (zájem ochrany osob a majetku), je nezbytné informovat okolí, že je v daném prostoru pořizován záznam z bezpečnostní kamery.

Pravomoci vnitrostátních dozorových úřadů v souvislosti s přeshraničním zpracováním osobních údajů

Soudní dvůr Evropské unie (SDEU) upřesnil podmínky výkonu pravomocí vnitrostátních dozorových úřadů v souvislosti s přeshraničním zpracováním osobních údajů.

Na údajné porušení Nařízení GDPR může dle rozhodnutí SDEU upozornit vnitrostátní dozorový úřad členského státu, který nemá postavení vedoucího úřadu, soud členského státu a zahájit soudní řízení v souvislosti s přeshraničním zpracováním údajů. GDPR ale musí tomuto vnitrostátnímu dozorovému úřadu přiznávat pravomoc přijmout rozhodnutí konstatující, že toto zpracování porušuje pravidla stanovená Nařízením GDPR. Tato přiznaná pravomoc musí být vždy použita v souladu s postupy spolupráce a jednotnosti stanovenými Nařízením GDPR.

Nařízení GDPR stanovuje pro přeshraniční zpracování mechanismus jediného kontaktního místa, který je založen na rozdělení pravomocí mezi vedoucí dozorový úřad a ostatní dotčené vnitrostátní dozorové úřady. Dle GDPR je k přijetí rozhodnutí konstatujícího porušení pravidel při přeshraničním zpracováním příslušný vedoucí dozorový úřad, ostatní dozorové úřady k přijetí takového rozhodnutí mají výjimku.

Problematika covid pasů v české legislativě

V současné době je řešena novela zákona o ochraně veřejného zdraví (zákon č. 258/2000 Sb.), která se týká podmínek pro zavedení tzv. covid pasů. Návrh zákona o covid pasech má adaptovat český právní řád na návrh nařízení Evropského parlamentu a Rady o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, testování a uzdravení za účelem usnadnění volného pohybu během pandemie COVID-19 (tzv. digitální certifikát COVID v EU).

Návrh zákona o covid pasech bude projednán na 109. schůzi Poslanecké sněmovny 9. června 2021.

K návrhu zákona o covid pasech, kterým se mění zákon č. 258/2000 Sb., se vyjádřil i ÚOOÚ – své vyjádření zaslal Poslanecké sněmovně Parlamentu. Ve vyjádření ÚOOÚ upozorňuje na některé procedurální nedostatky z pohledu ochrany osobních údajů, a to zejména nedostatečné posouzení vlivu na ochranu osobních údajů podle čl. 35 Nařízení GDPR a nedodržení postupu dle čl. 36 odst. 4 Nařízení GDPR, tedy neprojednání s ÚOOÚ.

Celé vyjádření ÚOOÚ k návrhu zákona o covid pasech je zveřejněno na stránkách ÚOOÚ https://www.uoou.cz/k-vladnimu-navrhu-zakona-o-covid-pasech/d-50514.

Zveřejňování záběrů z očkovacích center

Při očkování proti nemoci COVID-19 si někteří lidé pořizují fotografie z očkovacích center a poté je zveřejňují na sociálních sítí. Tyto fotografie ale mnohdy zachycují nejen dotyčnou očkovanou osobu, i další očkované, což je problém z hlediska ochrany osobních údajů, protože tyto osoby nedaly ke zveřejnění aktivní souhlas.

Dle vyjádření ÚOOÚ zveřejňování fotografií návštěvníků očkovacích center na osobním profilu dotyčné osoby nespadá pod Nařízení GDPR, ale řadí se spíše pod režim ochrany osobnosti dle občanského zákoníku (podle § 85 odst. 1 občanského zákoníku je možné rozšiřovat podobu člověka jen s jeho svolením). Pokud klient očkovacího centra zveřejní svou fotografii z očkování a nejsou na ni zachyceny podoby jiných osob, tak je vše v pořádku. Pokud jsou na fotografii zveřejněny podoby jiných osob, pak podle § 82 odst. 1 občanského zákoníku má člověk, jehož osobnost byla dotčena, právo domáhat se nápravy (odstranění fotografie ze sociální sítě) a příp. odškodnění.

Záběry z očkovacích center publikované na speciálně vytvořené stránce, či na ilustračních a opakovaných záběrech v TV (tj. záběry pořízené pro novinářské účely, nebo pro účely akademické), se posuzují na základě okolností daného konkrétního případu, nicméně v obecnosti lze uvést, že ve většině případech spadají do působnosti Nařízení GDPR (jedná se o oprávněný zájem správce).

Uchovávání údajů z platebních karet

Během pandemie COVID-19 došlo a dochází k rozšíření používání bezkontaktních a online plateb. V souvislosti s tímto rozvojem je kladen větší důraz na obchodníky, aby získané platební údaje patřičně zabezpečili proti jejich úniku a zneužití.

Osobní údaje zákazníků musí být vždy zpracovávány na základě právního základu, ve většině případů tedy z důvodu uzavření kupní smlouvy, ke kterému jsou nezbytné některé osobní údaje. Avšak následné uchovávání osobních údajů pro usnadnění případných dalších nákupů a transakcí již nelze pod plnění uzavřené smlouvy a provedení platby zahrnout. Takové další zpracování je možné provádět pouze na základě uděleného souhlasu zákazníkem.

Tento souhlas musí zákazník udělit svobodně, konkrétně, informovaně a jednoznačně ještě před uložením údajů z platební karty. Souhlas musí mít zákazník možnost udělit jasným potvrzujícím úkonem, tedy např. zaškrtnutím příslušného políčka ve formuláři. Zákazník musí mít možnost souhlas kdykoliv odvolat a zároveň musí být odlišen od souhlasu poskytnutého s obchodními podmínkami a nelze jím podmiňovat dokončení transakce.

GDPR a umělá inteligence

V souvislosti s rozvojem umělé inteligence začínají vznikat koncepty nařízení o evropském přístupu k umělé inteligenci. Evropská komise zdůraznila, že v rámci tohoto tématu bude k problematice přistupovat jako zaměření na člověka. Z tohoto důvodu se bude také posuzovat v rámci Nařízení GDPR.

Již nyní se setkáváme s umělou inteligencí v běžném životě. Příkladem může být:

  • Vyhledávání informací
  • Administrativní úkony
  • Vyhledávání vhodných pracovních nabídek
  • Výrobky inteligentního bydlení
  • Virtuální asistenti – Siri, Alexa, Google Assistant

Nařízení bude řešit umělé inteligence, které představují hrozbu pro bezpečnost, život a základní práva a svobody lidí, dále bude specifikovat speciálními požadavky na transparentnost, výše pokut za porušení zakázaných činností a další oblasti.

Whistleblowing – ochrana oznamovatelů

Směrnice Evropského parlamentu a rady (EU) 2019/1937 o ochraně osob, které oznamují porušení práva Unie (dále také Směrnice) přináší organizacím v soukromém i veřejném sektoru nové povinnosti, především zavedení tzv. vnitřního oznamovacího systému a ochrany osob, které oznámí porušení práva Unie, o kterém se dozví, před odvetnými opatřeními ze strany zaměstnavatele.

Členské státy EU mají povinnost Směrnici implementovat národní legislativou do 17. prosince 2021, návrh Zákona o ochraně oznamovatelů (dále také ZoOO) počítá s přechodným obdobím do 31. března 2022, kdy je povinný subjekt povinen vnitřní oznamovací systém a postupy pro oznamování a přijímání následných opatření zavést. Návrh zákona o ochraně oznamovatelů byl schválen vládou ČR a v současné době probíhá jeho projednávání Parlamentem ČR.

Povinným subjektem podle § 8 odst. 1 návrhu Zákona o ochraně oznamovatelů jsou:

  • veřejní zadavatelé podle zákona upravujícího zadávání veřejných zakázek (s výjimkou obce s méně než 5 000 obyvateli, nejedná-li se o obec s rozšířenou působností);
  • zaměstnavatelé, kteří v uplynulém kalendářním čtvrtletí zaměstnávali v průměru nejméně 25 zaměstnanců; a
  • další subjekty uvedené v § 8 odst. 1 ZoOO.

Nedodržování pravidel ochrany oznamovatelů může vést, kromě neplatnosti některých jednání, též k uložení pokuty. Postihován by měl být ten, kdo brání oznámení, přijme odvetné opatření nebo poruší povinnost zachovávat důvěrnost získaných informací. Na druhé straně může být pokutován i ten, kdo vědomě oznámí či zveřejní nepravdivé informace.

Pokud instituce nezavede procesy pro ochranu oznamovatelů, nebo podnikne odvetné opatření proti oznamovateli, je vystavena pokutě až do výše 1 milionu Kč nebo 5 % z čistého obratu za poslední účetní období.

Kopírování občanského průkazu a prokazování totožnosti

Je zakázáno pořizovat kopie osobních dokladů bez prokazatelného souhlasu občana, kterému byl průkaz vydán, pokud další zákon nestanoví jinak. V převážné míře případů je dostatečné provést kontrolu předloženého průkazu totožnosti a zaznamenání nezbytných osobních údajů. Běžně je však souhlasem s pořízením kopie podmiňováno poskytnutí nějaké služby. Tím souhlas nenaplňuje podmínku svobodného projevu vůle. Je proto podstatné, aby držitel dokladu byl výslovně informován o možnosti nesouhlasit s pořízením kopie a důsledcích takového odmítnutí.

Zákon jasně stanovuje, které osoby mohou, nikoliv musí kopie pořizovat. Lze mezi ně zařadit banky a další finanční instituce poskytující peněžní, investiční a obchodní služby. Dále pojišťovna, notář, obchodník s uměleckými díly a další. Zákon však stanoví pořízení kopie průkazu jako fakultativní možnost při identifikaci klienta, ne jako povinnost kopii pořídit.

Neoprávněné pořízení kopie občanského průkazu nebo cestovního dokladu je považováno za přestupek fyzické osoby, která kopii pořídila.

V případě požadavku na prokázání totožnosti je možné použít vždy občanský průkaz, dále cestovní doklad, pokud obsahuje podobiznu majitele a také např. řidičský či služební průkaz, pokud to bude protistranou akceptovatelné. Jestliže zvláštní právní předpis stanoví povinnost prokazovat skutečnosti zapsané v občanském průkazu jiným způsobem, musí tak občan učinit. Takováto pouhá kontrola dotyčných osob ještě není z pohledu GDPR zpracování osobních údajů. Tím se stává až v případě, že kontrolor osobní údaje někam zaeviduje či pořídí kopii onoho dokladu.

Dále při preventivní silniční kontrole je povinnost řidiče se prokázat pouze platným řidičským průkazem, občanský průkaz již není potřeba. Stejně tak v případě běžné kontroly prokázání totožnosti by měl být dostačující jakýkoliv doklad obsahující nezbytné osobní údaje – jméno/a, příjmení, datum narození a v případě potřeby také adresa místa trvalého pobytu, adresa místa pobytu nebo adresa bydliště v zahraničí, rodné číslo a státní příslušnost.

Právo na prokázání totožnosti má nejen Policie ČR, ale také další orgány veřejné moci – správce daní, inspekce práce, kontrolor v rámci zákona o rybářství či ochraně přírody, v rámci správních řízení, banky, investiční společnosti, pojišťovny, auditoři, daňoví poradci nebo účetní.

Při vedení jakékoliv evidence je třeba stále dodržovat zásadu minimalizace údajů, tedy zaznamenávat a ukládat jen ty údaje, které jsou nezbytné pro naplnění daného účelu. Tento rozsah je ve většině případů stanoven zákonem, pokud tomu ale tak není, je nutné rozsah údajů posoudit. V případě návštěv v budovách by mělo docházet ke zpracování pouze jména, příjmení, popř. číslo kanceláře do které daná osoba jde. Zásadně by nemělo docházet k evidenci více osobních údajů, pokud tak nestanoví zákon.

Vedení evidence testovaných či očkovaných zaměstnanců

Informace o zdravotním stavu, mezi které patří údaje o testování či očkování, se dle Nařízení GDPR řadí do kategorie zvláštních / citlivých osobních údajů. Tyto údaje může zaměstnavatel zpracovávat pouze na základě:

  • zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva;
  • zpracování je nezbytné z důvodu významného veřejného zájmu;
  • či je možné zpracování provádět na základě mimořádného opatření Ministerstva zdravotnictví č. j. MZDR 47828/2020-27/MIN/KAN, které zaměstnavatelům, jež pro své zaměstnance zajišťují antigenní testy k použití laickou osobou, nařizuje vést evidenci provedených testů. V případě evidence očkovaných zaměstnanců je pak možné se odkazovat na mimořádné opatření Ministerstva zdravotnictví č. j. MZDR 47828/2020-16/MIN/KAN, které nepřímo tuto povinnost zaměstnavateli ukládá.

V případě, že provádí testování poskytovatel lékařských služeb, jedná se o postavení dvou samostatných správců osobních údajů, tedy poskytovatel lékařských služeb není v roli zpracovatele. Poskytovatel, který testování provádí, následně předává zaměstnavateli potvrzení o provedeném testu k jeho interní evidenci. Tito správci mají mít mezi sebou uzavřenou běžnou obchodní smlouvu (nikoliv smlouvu o zpracování osobních údajů mezi správcem a zpracovatelem).

Evidence testovaných a očkovaných zaměstnanců zaměstnavateli přináší novou agendu, kterou je nutné z hlediska GDPR náležitě ošetřit. Je tedy nezbytné:

  • informovat zaměstnance o takovém zpracování, o účelu, právním základu, rozsahu zpracovávaných osobních údajů, době uchovávání atp.;
  • vést pro tuto novou agendu záznam o činnosti zpracování osobních údajů;
  • evidenci dostatečně zabezpečit.

Je nutné mít na paměti, že zaměstnavatel má právo od zaměstnance vyžadovat a tím evidovat informace o testování, neboť tato povinnost je uložena mimořádným opatřením, ale informace o očkování z důvodu dobrovolnosti podstoupit očkování již není zaměstnanec povinen sdělit.

Zpracovávání osobních údajů ve službách

S postupným rozvolňováním proti epidemiologických opatření dostali provozovatelé holičství, kadeřnictví, pedikúr, manikúr, kosmetických, masérských a obdobných regeneračních nebo rekondičních služeb nařízeno vést evidenci zákazníků.

Úřad pro ochranu osobních údajů však reagoval, že takové zpracovávání osobních údajů považuje za nepřípustné, neboť není stanoven konkrétní účel zpracování, rozsah údajů, doba zpracování a další. Dále ÚOOÚ upozornil, že Ministerstvo zdravotnictví nemá dle pandemického zákona takovou pravomoc, která by je zmocňovala k uložení této povinnosti u provozovatelů.

Osobní spisy bývalých zaměstnanců

Zákon každému zaměstnavateli ukládá povinnost evidovat nejrůznější osobní údaje svých zaměstnanců. Všechny tyto údaje posbírané během pracovněprávního vztahu by měly tvořit tzv. spis zaměstnance. Po ukončení pracovněprávních vztahů má zaměstnavatel jako správce osobních údajů povinnost údaje zlikvidovat, pokud pominul účel jejich zpracování. To však může nastat jen u některých dokumentů spisu, rozhodně to neplatí absolutně. Zaměstnavatel má i po skončení pracovněprávního vztahu povinnost konkrétní údaje a dokumenty uchovávat i nadále.

Konkrétně jaké dokumenty a osobní údaje je zaměstnavatel povinen či oprávněn nadále uschovávat vyplývá primárně z aktuálně platných zákonů, ale také z oprávněných zájmů správce. Může totiž nastat situace, kdy vznikne právní spor s bývalým zaměstnancem či třetí stranou. Podle občanského zákoníku je promlčecí lhůta na případné spory 3 roky. Mezi dokumenty, které je oprávněn zaměstnavatel uchovávat z důvodu oprávněného zájmu patří např. i podklady pro hodnocení a odměňování. Za další dokumenty uchovávané ale podle zákonů patří evidenční listy, dokumenty pro účely důchodového a nemocenského pojištění, mzdové listy, účetní záznamy a další.

Evidence testovaných zaměstnanců

V minulých novinkách jsme Vám poskytli informace ohledně evidence testovaných zaměstnanců na COVID-19 a nyní bychom rádi tyto informace rozšířili:

  • I když je zaměstnanec během testování na slabší straně pracovněprávního vztahu a musí se nechat testovat, musí s ním být stále zacházeno s nanejvýš ohleduplným a šetrným způsobem a respektovat nejen jeho osobní údaje, ale celkově jeho soukromí a lidskou důstojnost.
  • Testování zaměstnanců se neprovádí na základě jimi uděleného souhlasu, ale na základě vyhlášených mimořádných opatření, která zaměstnavateli dávají dostatečnou právní oporu.
  • Každý zaměstnavatel musí zpracovávané osobní údaje v rámci evidence testovaných přizpůsobit konkrétním podmínkám a rozsahu jeho činnosti, neexistuje jedna podoba pro všechny.
  • Stále platí, že evidence testovaných by měla obsahovat pouze: jméno, příjmení, datum narození, které je možno nahradit identifikátorem zaměstnance, datum provedení testu, výsledek testu na přítomnost viru a případně důvod výjimky z testování (prodělání infekce COVID-19 ve lhůtě do 90 dní před provedením testu, provedení očkování, home office bez přítomnosti na pracovišti, pracovní neschopnost).
  • Jestliže testování provádí přímo zaměstnavatel a bude docházet k proplácení od zdravotních pojišťoven, bude evidence obsahovat i údaje potřebné pro zdravotní pojišťovnu (např. číslo pojištěnce a kód pojišťovny).
  • Pokud je testování zajištěno externě poskytovatelem zdravotních služeb vystupují z pohledu GDPR v celé činnosti dva správci, přičemž každý z nich může vést jinou podobu evidence. V případě poskytovatele zdravotních služeb může docházet např. k předávání údajů do Informačního systému infekčních nemocí a samozřejmě vytváření nové zdravotnické dokumentace ke každému testovanému zaměstnanci, která může mít určený jiný rozsah a dobu uchování.
  • K výsledkům testů musí mít přístup jen nezbytné množství osob a musí být zajištěno dostatečné zabezpečení.
  • Doba pro uchování evidence testování sice nebyla v rámci mimořádného opatření stanovena, ale jako maximální doba uchování osobních údajů v evidenci testování ÚOOÚ doporučilo tři roky od doby pořízení testu.
  • Pokud nebude zaměstnavatel své zaměstnance testovat, je možné, že mu orgány ochrany veřejného zdraví udělí pokutu až půl milionu korun za nesplnění povinnosti.

GDPR a zákon o svobodném přístupu k informacím

Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, který je účinný od 1.1.2000, prošel velkou řadou novelizací a další novelizace zákona je očekávána. Zákon patří k základním právním předpisům, které v rámci své činnosti užívají státní orgány, orgány územních samosprávných celků a další veřejné instituce podílející se na veřejné správě či hospodaření s veřejnými prostředky. Zákon upravuje pravidla pro poskytování informací a podmínky práva svobodného přístupu k těmto informacím.

Podle dostupných statistik se více informací poskytuje podle zákona č. 106/1999 Sb. než podle Nařízení GDPR. Zákon o svobodném přístupu k informacím je „obecný“ zákon – pokud tedy řešenou problematiku upravuje i jiný „sektorový“ zákon (např. správní řád, stavební zákon apod.) jsou informace poskytovány v souladu se zákonem pro danou řešenou oblast.

V podané žádosti o poskytnutí informace podle zákona č. 106/1999 Sb. musí být uvedeno kdo žádá, koho žádá, co žádá a že žádá podle zákona č. 106/1999 Sb. Žádat o poskytnutí informace může kdokoliv a může žádat o jakoukoliv informaci, která není vyloučena. Zákonem o svobodném přístupu k informacím jsou z poskytování vyloučeny:

  • utajované informace;
  • informace týkající se osobnosti, projevů osobní povahy, soukromí fyzické osoby a osobní údaje (tyto informace mohou být poskytnuty jen v souladu s právními předpisy, upravujícími jejich ochranu);
  • obchodní tajemství;
  • informace o majetkových poměrech osoby, která není povinným subjektem, získané na základě zákonů o daních, poplatcích, penzijním nebo zdravotním pojištění anebo sociálním zabezpečení;
  • informace vzniklé bez použití veřejných prostředků, jestliže byly předány osobou, které takovouto povinnost zákon neukládá;
  • informace, jejichž poskytnutím by byla porušena ochrana práv třetích osob k předmětu autorského práva;
  • informace, které subjekt získal od třetí osoby při plnění úkolů v rámci kontrolní, dozorové, dohledové nebo obdobné činnosti prováděné na základě zvláštního právního předpisu;
  • informace o probíhajícím trestním řízení;
  • informace o rozhodovací činnosti soudů s výjimkou rozsudků;
  • a další informace uvedené v §7 – 11 zákona č. 106/1999 Sb.

Způsoby vyřízení žádosti o poskytnutí informace podle zákona č. 106/1999 Sb.:

  • Poskytnutí informace
  • Rozhodnutí o (částečném) odmítnutí žádosti
  • Odložení žádosti

Povinný subjekt, který vyřizuje žádost o poskytnutí informace, je oprávněn zpracovávat osobní údaje žadatele pouze za účelem vyřízení žádosti, nikoli pro účely jejich zveřejňování. Doporučuje se žádosti o informace nezveřejňovat, a zveřejnit pouze odpovědi (a to bez identifikačních údajů žadatele). Pokud je zveřejněna i žádost, musejí být osobní údaje žadatele (případně další uvedené v žádosti) anonymizovány. Při zveřejnění poskytnuté informace, např. na webové stránce subjektu nebo úřední desce obce, musí dojít k anonymizaci osobních údajů uvedených v poskytnuté informaci. Poskytnuté informace bez anonymizace jsou žadateli sice vydány oprávněně, ale jejich zveřejněni na internetu pro předem neurčitý okruh osob by mohlo narušit právo na ochranu osobnosti a osobních údajů daných osob ústavně nepřiměřeným způsobem.

Opravné prostředky žádosti o poskytnutí informace podle zákona č. 106/1999 Sb.:

  • Informační příkaz
  • Přezkumné řízení před ÚOOÚ
  • Opatření proti nečinnosti před ÚOOÚ

Zákon o svobodném přístupu k informacím, novelizovaný na základě zákona č. 111/2019 Sb., upravil i působnost ÚOOÚ v oblasti práva na informace. ÚOOÚ – tedy kromě primární působnosti v oblasti ochrany osobních údajů – zajišťuje i úkony spojené se svobodným přístupem k informacím:

  • ÚOOÚ je oprávněn přezkoumat rozhodnutí odvolacího orgánu ve věci žádosti o informace, tj. rozhodnutí o odvolání, rozhodnutí o rozkladu.
  • ÚOOÚ je oprávněn, zpravidla na základě podnětu žadatele o informace, posoudit, zda je nadřízený orgán nečinný podle zákona č. 106/1999 Sb. a případně rozhodnout o opatření proti jeho nečinnosti.
  • ÚOOÚ je odvolacím orgánem pro povinné subjekty, u kterých dosud rozhodoval o odvolání a stížnostech ten, kdo stojí v čele povinného subjektu, a to s ohledem na skutečnost, že není možno určit nadřízený orgán dle ustanovení § 178 zákona č. 500/2004 Sb.

Výsledky činnosti ÚOOÚ za rok 2020

Mezi nejčastěji zjištěná porušení v rámci kontrolní činnosti v roce 2020 patřila absence řádného právního důvodu pro uskutečňované zpracování ze strany správce osobních údajů. V řadě případů bylo kontrolami také zjištěno porušení výkonu práv subjektu údajů.

Z celkem 1855 přijatých podnětů bylo zahájeno konkrétně 54 hloubkových kontrol a ÚOOÚ pouze v 5 případech uložil pokuty v celkové výši 1.323.000,- Kč.

Mezi výsledky kontrolních činností ÚOOÚ zařadilo následující poznatky:

  • Vynucení souhlasu se zpracováním osobních údajů např. vyloučením ze spolku.
  • Neoprávněné vstupování do systému Centrálního úložiště elektronických receptů ze strany Státního ústavu pro kontrolu léčiv či konkrétních lékárníků.
  • Nepřiměřené zpracování osobních údajů nad rámec novinářské licence kamerami společností provozující internetovou televizi, která umístila kamery zabírající veřejné prostranství s možností jasně identifikovat všechny osoby a SPZ aut.
  • Soukromá internetová stránka se dopustila porušení GDPR, když mimo jiné „překlápěla“ osobní údaje stovek tisíc podnikatelů z obchodního a živnostenského rejstříku, neboť nesplnila podmínku nezbytnosti ve vztahu k účelu zpracování osobních údajů. Byla tedy uložena pokuta ve výši půl milionu korun spolu s pokutou sto tisíc korun za nesoučinnost.
  • Půjčovna lyžařského vybavení v rámci smlouvy o půjčení vybavení požadovala také pořízení kopie občanského průkazu, avšak na základě souhlasu, který nemohl zákazník odmítnout, neboť byl již zakomponován do podepisované smlouvy. Vyžadování takového souhlasu je v rozporu s obecným nařízením.
  • V rámci přímého marketingu byly neoprávněně použity kontakty, které obchodníci / poradci získali za plnění pracovních povinností pro jinou společnost. Šlo tedy o nezákonné zpracování ve smyslu obecného nařízení.

Zpracování osobních údajů Policií ČR

ÚOOÚ začal prošetřovat, jakým způsobem je nakládáno s osobními údaji lidí, kterým byla udělena karanténní opatření v rámci pandemie COVID-19. Během ledna a února 2021 začala totiž dostávat Policie ČR od Krajských hygienických stanic a České správy sociálního zabezpečení informace o lidech v karanténě bez jejich vědomí.

ÚOOÚ nyní místním šetřením kontroluje, jak jsou data Policií ČR uchovávána a dále používána, tedy zda dochází k fyzické kontrole těchto osob a v jaké souvislosti, dále jak jsou osobní údaje zabezpečeny, zda a jak je přístup k těmto datům nastaven a řízen a zda jsou vytvořeny k této nové činnosti potřebné záznamy o činnostech zpracování osobních údajů.

I v této nelehké situaci stále platí, že ministerstva a ostatní úřady musí připravit a nastavit zpracování osobních údajů takovým způsobem, aby vždy byla dodržena pravidla a principy Nařízení GDPR a zákona o ochraně osobních údajů.

Osobní údaje ze soudních jednání

Dle vyjádření ÚOOÚ dochází během soudních jednání ke zveřejňování osobních údajů. Takto je činěno v souvislosti s transparentností soudních jednání a má sloužit výhradně pro informování veřejnosti. Je běžnou praxí, že v různých fázích jednání dochází k uveřejnění různých typů údajů. Je ale vždy na samotném soudu posoudit vhodnost takových uveřejnění a najít rovnováhu ve snížení rizik jejich zneužití a naplněním požadavku na veřejnou kontrolu výkonu soudní moci.

Například pro dočasné zveřejnění osobních údajů účastníků řízení pro účely informování veřejnosti o soudním jednání je možno snáze najít argumenty než pro zveřejnění týchž osobních údajů po skončení řízení.

Zároveň ÚOOÚ upozorňuje, že technické řešení takového zveřejňování má bránit zneužití zveřejňovaných údajů jejich systematickým a plošným stahováním a neomezeným uchováváním případně dalšímu zveřejňování. Dále doporučuje zvážit, zda sledovaný účel vyžaduje neomezený přístup anonymních uživatelů k osobním údajům účastníků řízení či zda není vhodné přístup usměrňovat (individualizovat).

Nová centrální evidence psů a majitelů

V meziresortním připomínkovém řízení je nyní novela zákona č. 166/1999 Sb., o veterinární péči a o změně některých souvisejících zákonů (veterinární zákon), která se také zásadně nově dotýká osobních údajů.

Součástí novely je vytvoření centrální evidence psů, ve které by měly být uvedeny také osobní údaje statisíců majitelů psů. ÚOOÚ v rámci tohoto připomínkového řízení překontroloval mj. technické nastavení evidence a právní oporu, na základě které bude možné tyto osobní údaje evidovat.

Monitorování zaměstnanců

Pokud chce zaměstnavatel nějakým způsobem kontrolovat a tedy monitorovat své zaměstnance, musí při tom dodržovat podmínky stanovené zákoníkem práce a samozřejmě také pravidla vyplývající z obecného nařízení o ochraně osobních údajů. Vždy k tomu musí najít pádnou právní oporu. Při neoprávněném monitorování může být zaměstnavateli udělena pokuta až 1 milion Kč.

Běžně se v rámci kontroly lze setkat s otevřeným či skrytým monitoringem a to pomocí kamerového systému, lokátoru GPS, odposlechu a zaznamenávání hovorů či kontroly elektronické pošty nebo listovních zásilek adresovaných zaměstnanci.

Vždy by měla být dodržena zásada proporcionality, tedy úměrnost mezi narušením soukromí zaměstnance versus hodnota zájmů zaměstnavatele. Dále má zaměstnavatel povinnost zaměstnance o možnosti kontroly vždy informovat, například pomocí popisu uplatněných sledovacích mechanismů ve směrnici o zpracování a ochraně osobních údajů nebo v jiném, zaměstnanci přístupném vnitropodnikovém dokumentu.

Firemní testování zaměstnanců na Covid-19

Z důvodu nutnosti testovat zaměstnance na přítomnost nákazy Covid-19, která vyplývá z mimořádného opatření Ministerstva zdravotnictví (MZDR 47828/2020-16/MIN/KAN), začínají nyní zaměstnavatelé z pohledu GDPR a zákona o zpracování osobních údajů realizovat novou činnost. Jelikož bude při této činnosti zaměstnavatel o svých zaměstnancích evidovat nové osobní údaje a zejména pak citlivé údaje – informaci o zdravotním stavu, musí začít plnit povinnosti ochrany osobních údajů. Je nezbytné se zaměřit na následující body:

  • Zaměstnavatel je oprávněn údaje shromažďovat pouze na základě právního důvodu „zákonná povinnost“ a „veřejný zájem v oblasti ochrany veřejného zdraví“.
  • Vést záznamy o činnosti zpracování této nové agendy.
  • Informace z testování používat pouze v souvislosti s plněním povinností uložených mimořádným opatřením.
  • Záznamy o provedení testů mohou obsahovat pouze nezbytné osobní údaje – jméno a příjmení, číslo pojištěnce, údaje o zdravotní pojišťovně, přesný čas provedení testu a výsledek testu.
  • Pokud má některý zaměstnanec z testování udělenou výjimku, je nutné o takové osobě vést pouze identifikační údaje a důvod výjimky z testování.
  • Doba uschování záznamů by měla být minimálně do zrušení mimořádného opatření a dále k nezbytné kontrole zpracování plateb a nároků, které mohou v důsledku testování vzniknout.
  • Maximálně zabezpečit tyto zpracovávané osobní údaje.
  • Zpřístupnit osobní údaje pouze těm zaměstnancům, kteří jsou k tomu oprávnění – např. osobě, která byla pověřena k plnění úkolů k dodržování mimořádného opatření.
  • Zajistit informovanost testovaných zaměstnanců o druhu a povaze testů, o zvoleném způsobu testování a samozřejmě o tom, jak budou jejich osobní údaje zpracovávány.
  • Vzorovou informaci pro zaměstnance a vzorový záznam o činnosti naleznete v příloze emailu – poslat pouze platícím zákazníkům.

Testování není nutné provádět v následujících případech:

  • Jestliže zaměstnanec prodělal laboratorně potvrzené onemocnění Covid-19, uběhla potřebná doba izolace, nejeví žádné příznaky nemoci Covid-19 a od prvního pozitivního PCR testu nebo antigenního testu neuplynulo více než 90 dní. Vše je povinno doložit lékařskou zprávou.
  • Dále pokud zaměstnanec předloží negativní výsledek PCR testu nebo profesionálně provedeného antigenního testu.
  • A také, pokud je daný zaměstnanec plně naočkovaný a od poslední dávky uplynulo alespoň 14 dnů.

Pokud zaměstnanec testování odmítne, je možné se domluvit na výkonu práce z domova, čerpání dovolené, poskytnutí neplaceného volna nebo na změně harmonogramu rozvržení směn. Jestliže se zaměstnanec a zaměstnavatel nedohodnou, půjde podle § 199 odst. 1 zákoníku práce o jinou důležitou osobní překážku v práci na straně zaměstnance, za kterou zaměstnanci však nepřísluší náhrada mzdy nebo platu. Zaměstnanci také podle zákona č. 94/2021 Sb. (pandemický zákon) hrozí finanční sankce.

Předávání údajů o karanténě policii

V souvislosti s pandemií Covid-19 dochází k enormnímu nárůstu evidovaných osob s nařízenou karanténou z důvodu možného propuknutí nemoci. Za celou dobu mělo karanténu nařízeno přes 421 tisíc osob. Informace o tom, že daná osoba je v karanténě, spolu s datem narození, trvalým bydlištěm a přechodným bydlištěm, předávaly všechny krajské hygienické stanice a Česká správa sociálního zabezpečení Policii ČR za účelem kontroly porušování zakázaného pohybu.

I v případě nouzového stavu však platí, že státní orgány musí zacházet s osobními údaji občanů vždy přesně v intencích zákona a zákonným způsobem, účelně a přiměřeně. Z tohoto důvodu pravděpodobně dojde k úpravě novely Ministerstva vnitra tak, aby mohla policie evidovat opakované porušování nařízení – např. neuposlechnutí zákazu provozovat služby. Dojde tedy k rozšíření registru přestupků o přestupky spáchané podle krizového zákona.

Rezervace návštěvy na úřadě

V případě, že si potřebujete něco vyřídit na úřadě, ve velké řadě případů je možné se na návštěvu objednat, tedy rezervovat přesné datum a čas. Dané rezervační systémy jsou většinou zajištovány soukromými společnosti, ale je to právě daný úřad, který se tak stává správcem osobních údajů ze systému získaných a nese všechnu odpovědnost. Aby daný úřad neporušoval ochranu osobních údajů, musí u dané společnosti zajistit, že v rezervačním systému budou po občanovi vyžadovány pouze nezbytné osobní údaje k zajištění rezervace.

Mezi nejčastější porušení ochrany osobních údajů v případě rezervačních systémů patří:

  • Sběr nadbytečného množství osobních údajů.
  • Nedostatečná informace, jaké osobní údaje a proč jsou zpracovávány. Také je velice často opomenuta informace o soukromé společnosti, která systém zajišťuje.
  • Nedostatečná informovanost o právech spojených s udělením souhlasu.
  • Nesprávné užití souhlasu.
  • Příliš dlouhá doba uložení dat.

Vzdělávání v oblasti ochrany osobních údajů a bezpečnosti na internetu pro děti

Úřad pro ochranu osobních údajů průběžně zveřejňuje dostupné hry a vzdělávací zdroje pro mládež, které pomáhají v rozvoji informační gramotnosti, ochrany osobních údajů a správným návykům při pohybu v online světě.

Odcizené přihlašovací údaje

V druhé polovině minulého roku probíhalo rozesílání phishingových emailů, v kterých byli příjemci vyzváni, aby otevřeli přiloženou HTML přílohu pro zobrazení naskenovaných dokumentů. Ve skutečnosti však šlo o podvržený email, který následně ukládal získaná hesla.

Veškerá hesla se pak ukládala do databáze, která se ale díky indexování webových stránek stala veřejnou a při pouhém zadání emailu okradené osoby bylo možné se dostat ke všem zcizeným přihlašovacím údajům.

Každé heslo, ať už je sebesilnější, je stále možné prolomit. Z tohoto důvodu je vhodné svá hesla pravidelně měnit, ideálně v intervalech tří měsíců.

Nejčastější důvody pokut

Za uplynulé roky, kdy je v platnosti Nařízení GDPR a příslušné zákony řešící ochranu osobních údajů, stále existují případy, a není jich málo, kdy kontrolní úřad musel sáhnout k udělení nemalých pokut. Existuje několik oblastí, ve kterých správci osobních údajů nejčastěji chybují:

  • Transparentnost – správce musí mít k dispozici pro subjekty údajů přehledný popis toho, jaké údaje a jakým způsobem je zpracovává. Tyto informace musí být také jednoduše dostupné.
  • Právní základ – veškeré osobní údaje může správce sbírat a zpracovávat jen pouze na základě řádného právního základu. Mezi ty nejzákladnější je možné zařadit povinnost danou zákonem, na základě uzavřené smlouvy, souhlasu či na základě oprávněného zájmu.
  • Nedostatečná implementace potřebného zabezpečení – během zpracovávání získaných osobních údajů musí být průběžně aktualizována dostatečná bezpečnostní opatření. Např. by mělo pravidelně docházet k monitorování osob, které mají k datům přístup, zajistit šifrování dat, zavádět používání vícefaktorového ověřování, logování neúspěšných přihlášení atp.
  • Nedodržení zásady minimalizace a doby ukládání dat – během získávání dat dochází často ke zpracování většího rozsahu dat, než je k danému účelu ve skutečnosti potřebné.

Sdílení fotek na internetu

Řada z nás za existence internetu a zejména sociálních sítí alespoň jednou sdílela fotku sebe, svých blízkých či přátel. Jedná se ale zejména o rodiče, kteří se se světem chtějí podělit o radost ze svých ratolestí a tak neváhají na internet „poslat“ kde co. V průměru se jedná až o 1 500 fotek, které rodiče nasdílí během pěti let od narození dítěte. Jedná se zejména o fotky z dovolených nebo úspěchy svých dětí.

S rozmachem sociálních sítí je ale také snaha upozornit uživatele na rizika spojená s využíváním těchto platforem. A jsou to právě fotky, které o nás nebo ostatních mohou prozradit mnohem více informací, než může být na první pohled patrné.

Mezi informace, které je možné velice často z fotografie či popisku zjistit patří:

  • Jméno a příjmení
  • Datum narození
  • Bydliště
  • Škola a třída, kterou dítě navštěvuje
  • Samotné dítě – obličej nebo obnažené tělo
  • Údaje uvedené na vysvědčení
  • Přezdívka
  • Název týmu, za které dítě hraje

Odstrašujícím příkladem je používání fotografií malých dětí pedofily, které jsou získávány z nezabezpečených fotografických portálů. Např. na jednom ruském webu se hojně objevily i fotky českých dětí.

Pokud se i přes všechny nástrahy rozhodnete sdílet fotografie dětí a daná platforma to nabízí, sdílejte informace pouze s vybraným okruhem přátel / uživatelů, nikoliv naprosto veřejně se všemi. A je dobré si pamatovat, že co jednou internet schvátí, už nikdy nenavrátí.

Brexit a GDPR

V okamžiku, kdy se Velká Británie přestala řadit mezi země EU a stala se tak třetí zemí ve vztahu k GDPR, se zásadně změnil režim ochrany osobních údajů na jejím území, včetně pravidel pro předávání osobních údajů z EU a opačně.

Jestliže společnost se sídlem ve Velké Británii bude dostávat data z EU (např. bude poskytovat cloudové úložiště), budou tato data předávána do třetí země. Takovéto předávání dat se pak bude muset dít pouze za splnění konkrétních podmínek GDPR. Jako nejvýhodnější se jeví vydání rozhodnutí Evropské komise o odpovídající ochraně osobních údajů. Takovým rozhodnutím se řídí vůči EU již 12 zemí světa, jako je např. Kanada, Švýcarsko, Nový Zéland nebo Japonsko. Jako další možnost je pak pro správce uzavřít s každým zpracovatelem jednoduché smluvní doložky o ochraně osobních údajů.

Za těchto okolností bylo vyjednáno, že po dobu šesti měsíců, tedy nejpozději do konce června 2021, bude předávání osobních údajů fungovat stále za stejných podmínek, řídí se tedy obecným Nařízením GDPR. Do této doby je Velká Británie povinna předložit a s EU schválit nová pravidla. Pokud se tak nestane, zařadí se Velká Británie skutečně do režimu třetí země a předávání osobních údajů se tak značně zkomplikuje.

WhatsApp a jeho nové podmínky

Začátkem roku mnoho z nás, kteří používáme ke komunikaci aplikaci WhatsApp, obdrželo informaci o tom, že bude nutné k dalšímu využívání aplikace nejpozději do 8. února 2021 akceptovat nové zásady ochrany osobních údajů. Hlavním tématem bylo to, že WhatsApp měl od tohoto data předávat získané osobní údaje z konverzací společnosti Facebook, jakožto majiteli této aplikace k dalšímu zpracování. Tyto nové změny rozpoutaly masivní přesun uživatelů na jiné aplikace, jako je Signal nebo Telegram.

WhatsApp po vzniklém pozdvižení učinil nápravné kroky, mezi které patří nejen odsunutí účinnosti nových zásad o tři měsíce, ale zejména upřesnění a vysvětlení nových podmínek uživatelů.

Změna zásad se totiž vůbec neměla týkat osobních účtů uživatelů ani jejich soukromých konverzací, ale účtů firemních a konverzací mezi zákazníkem a firmou v rámci nákupů nebo zákaznické podpory. Získaná data měla pak být zpracovávána pro marketingové účely a tím i cílenou reklamu.

Nejdůležitější informace však je, že nové zásady jsou vytvořeny ve dvou variantách, kdy výše uvedené platí pouze pro uživatele mimo EU. V rámci České republiky a EU se nás tato změna netýká, neboť jsme chráněni přísnějšími pravidly GDPR. Přesto se jedná o velmi pěknou ukázku změny myšlení uživatelů online služeb, kdy již není možné vynuceným odsouhlasením změn podmínek užití bez povšimnutí prosadit další (zne)užívání osobních údajů.

Zásady ochrany soukromí neboli Privacy Notice

Každý majitel webových stránek, který nějakým způsobem shromažďuje a zpracovává osobní údaje návštěvníků či zákazníků, je povinen o takovém zpracování stručně, transparentně a srozumitelně všechny informovat. Z toho důvodu se nabízí zpracování tzv. Zásad ochrany soukromí (Informační memorandum), které nám dají informaci o tom, zda jsou naše osobní údaje pro majitele webových stránek důvěrné, zda jsou dále sdíleny nebo předávány třetím stranám.

Při vytváření takových Zásad je dobré reflektovat odpovědi na následující otázky:

  • Je má společnost / organizace správcem nebo zpracovatelem?
  • Mám povinnost jmenovat pověřence, a tím uvést i jeho / její kontakty?
  • Jaké konkrétní informace shromažďuji?
  • Kdo ve skutečnosti daná data sbírá?
  • Jak jsou shromažďována?
  • Z jakého důvodu jsou shromažďována?
  • Jak je budu následně používat?
  • Budu data dále s někým sdílet?
  • Bude nějaký dopad na dotčené osoby?
  • Hrozí, že naše použití získaných osobních údajů povede ke stížnostem či dokonce k námitkám?

Jak vytvořit silné heslo

Používání hesel je jedno ze základních druhů zabezpečení. Používáme ho při přihlášení do počítače, mobilního telefonu, aplikací, systémů apod. Každý z nás by měl při tvorbě hesla dbát na základní pravidla, která zajistí jeho větší „sílu“ tedy míru odolnosti při snaze heslo prolomit. Zaměstnavatelé by měli nastavit jasná kritéria při vytváření hesel do nejrůznějších aplikací a systémů s vynucením pravidelné obměny hesla.

Z hlediska náročnosti prolomit slabá hesla trvá méně než jednu sekundu např. u hesla „123456“. Stejně si stojí také heslo „heslo“ či „111111“.

Při tvorbě každého hesla doporučujeme dodržovat následující pravidla:

  • Pro každý uživatelský účet vytvořte zcela odlišné a silné heslo, nepoužívejte pouze několik hesel, která střídáte.
  • Nepoužívejte jména rodinných příslušníků, domácích mazlíčků, herců, názvy oblíbených filmů či seriálů, sportů, jídel, nadávek ani pozitivních slov. Stejně je tomu u řady po sobě jdoucích písmen nebo čísel. Dále nepoužívejte osobní údaje spjaté s vaší osobou – datum narození, rodné číslo, adresu apod.
  • Dodržujte dostatečný počet znaků, tedy minimálně 12.
  • Kombinujte velká a malá písmena, ideálně háčky a čárky, čísla a speciální znaky. Vše používejte na různých pozicích hesla.
  • Nepoužívejte nahrazování písmen tvarově podobnou číslicí, jako je např. „VEVERKA“ za „V3V3RKA“.
  • Pokud je to možné, používejte dvoustupňové neboli dvoufaktorové ověření / autentizaci pomocí hesla a např. SMS zprávy.

Právní základ pro videokonference

S pokračující situací kolem pandemie koronaviru se primárním způsobem jednání staly vzdálené videokonference. Online komunikace je také základní komunikační kanál v rámci školské výuky.

Abychom mohli ke komunikaci využívat videokonference, tedy zapojit do hovoru také obraz, je stále nutné si tento požadavek obhájit i z pohledu GDPR. Existují právní základy, které nám dovolují video během hovoru používat:

  • Udělený souhlas – lze použít pouze tehdy, pokud ke komunikaci existuje i jiná alternativa.
  • Plnění uzavřené smlouvy.
  • Oprávněný zájem odpovědné osoby.
  • Zákon – v případě orgánů veřejné moci např. školský zákon, v případě plnění pracovních povinností pak zákoník práce.

Dále doporučujeme při práci z domova aktivovat jiné pozadí či vyrovnat kameru tak, aby nedošlo k zásahu do soukromí účastníka hovoru.

Registrační systém na antigenní testování

Během uplynulých týdnů bylo možné se v souvislosti s Covid-19 objednat na tzv. antigenní testování přítomnosti viru v těle. Na takové testování bylo a je nutné se předem objednat pomocí rezervačních systémů jednotlivých testovacích míst. Velké množství nemocnic využívá k registraci rezervační systém Reservatic, který je součástí centrálního státního rezervačního systému.

Tento systém, provozovaný ostravskou společností Reservatic, však kromě vytvoření rezervace posílal některé získané osobní údaje společnostem jako je Seznam, Facebook či Google, které následně zacílí zobrazovanou reklamu. V současné době jsou již některé skripty odstraněny, ne ovšem plně.

V souvislosti s tímto zjištěním byla zahájena kontrola Úřadem pro ochranu osobních údajů, která zahrnuje také prošetření rezervačního systému na očkování, jež dle zjištění obsahuje zásadní nedostatky a pochybení z hlediska ochrany osobních údajů.

Dále je vhodné upozornit, že rezervační systémy velice často sbírají některé osobní údaje neoprávněně. Jedná se např. o rodné číslo, které je možné získávat až při dané návštěvě z kartičky pojištěnce či v případě antigenních testů bydliště a telefon. Tyto údaje testovací místo nepotřebuje, neboť výsledek se dozvíte okamžitě na místě.

Jak správně vyžadovat souhlas

Souhlas je jedním z právních základů, které opravňují správce zpracovávat jisté osobní údaje. Zároveň bylo již několikrát řečeno, že souhlas musí být jasný, dobrovolný a vědomý.

Mezi nejčastější chyby při sběru souhlasů se zpracováním osobních údajů patří:

  • Souhlas je zakomponovaný do obchodních podmínek a subjekt údajů nemá možnost se k souhlasu vyjádřit samostatně. Tímto je donucen „se souhlasem souhlasit“, pokud si chce daný produkt koupit nebo uzavřít smlouvu.
  • Políčko, které je uvedeno u souhlasu je předem zaškrtnuto a vy musíte ručně souhlas odškrtnout, pokud s daným zpracováním osobních údajů nesouhlasíte.

V případě první situace je takovéto vyžadování souhlasu zcela neakceptovatelné. Druhá situace dává možnost se k souhlasu vyjádřit, je však stále v rozporu s Nařízením GDPR. Správný postup je takový, kdy subjekt údajů musí sám, dobrovolně a vědomě políčko zaškrtnout. Správce je pak povinen daný souhlas subjektu údajů na vyžádání předložit.

Kamerový systém a souhlas

Velice často se setkáváme se situací, kdy zaměstnavatel či různá sdružení vyžadují souhlas zaměstnanců nebo členů při pořizování kamerového systému. Nejprve je potřeba připomenout, že samotné pořízení zabezpečovacího kamerového systému nesouvisí s problematikou GDPR. Jeho následné používání už ale ano.

V případě, že jsou respektovány základní zásady jako je například to, že kamerový systém nebude zasahovat do svobod a soukromí fyzických osob a všechny osoby jsou o pořizování záznamů prokazatelně informovány, je možné dané zpracovávání osobních údajů odůvodnit oprávněným zájmem zajistit bezpečnost osob a majetku. V takovémto případně není nutné a ani možné od daných osob vyžadovat souhlas, neboť daný kamerový systém by byl nainstalován i pokud by nesouhlasila jediná osoba. Zároveň není vhodné vyžadovat souhlas i z důvodu, že každý udělený souhlas musí být odvolatelný, což není v takovémto případě proveditelné.

Platba osobními údaji při poskytování digitálního obsahu či digitálních služeb

V současné době již existují obchodní modely, kdy spotřebitel neplatí obchodníkovi za digitální obsah či digitální služby, ale namísto toho mu poskytuje osobní údaje. V právních předpisech se tedy postupně zakotvuje nový termín – tzv. platba osobními údaji. Směrnice Evropského parlamentu a Rady (EU) 2019/2161 ze dne 27. listopadu 2019 (tzv. Doprovodná směrnice) přinesla úpravu čtyř stávajících unijních spotřebitelských směrnic, mezi nimi i směrnici 2011/83/EU o právech spotřebitelů, která mj. upravuje a bere v potaz jak situace, kdy spotřebitel platí nebo se zavazuje platit penězi, tak i ty, kdy spotřebitel poskytne nebo se zavazuje poskytnout obchodníkovi své osobní údaje za určitou službu.

Doprovodná směrnice zajistila konzistentnost mimo jiné se směrnicí Evropského parlamentu a Rady (EU) 2019/770 ze dne 20. května 2019 o některých aspektech smluv o poskytování digitálního obsahu a digitálních služeb, která se vztahuje i na smlouvy, na jejichž základě poskytovatel poskytuje nebo se zavazuje poskytovat digitální obsah nebo digitální službu spotřebiteli a spotřebitel poskytne nebo se zavazuje poskytnout osobní údaje.

Směrnice 2011/83/EU a směrnice 2019/770/EU se tedy vztahují na smlouvy o poskytování digitálních služeb a obsahu, který není poskytován na hmotném nosiči (tj. poskytnutí digitálního obsahu online), bez ohledu na to, zda spotřebitel platí cenu v penězích nebo poskytne osobní údaje. V těchto případech vždy vzniká smluvní vztah. Větší ochranu, transparentnost a více práv pro spotřebitele přinese transpozice Doprovodné směrnice členskými státy, která je stanovena k 28. listopadu 2021.

I přes novelizaci relevantních zákonů a směrnic by obchodník měl nadále provádět veškeré zpracování osobních údajů spotřebitele v souladu s Nařízením GDPR. Směrnicemi nejsou nijak dotčena práva spotřebitelů, jakožto subjektu údajů, která se vztahují na veškeré osobní údaje poskytnuté spotřebitelem obchodníkovi nebo shromážděné obchodníkem v souvislosti se smlouvou a v okamžiku, kdy spotřebitel ukončil smlouvu v souladu se směrnicemi.

Komunikace přes videokonference

Současná situace ohledně šíření nakažlivé nemoci – koronaviru zapříčinila značné zapojení videokonferencí při běžné komunikaci mezi zaměstnanci, klienty, ale i v rámci výuky na školách. Je na místě tedy připomenout, že během online jednání či výuky dochází ke zpracování osobních údajů a je nutné zajistit dostatečné organizační a technická zabezpečení. Obraz, zvuk, stejně jako osobní údaje uvedené v promítaných dokumentech či v textu chatu, tak i metadata komunikace jsou osobními údaji.

Většina videokonferencí je realizována přes externí provozovatele těchto služeb. Jedná se například o MS Teams, Cisco Webex, Zoom, Google Classroom atd. V takovém případě se daný provozovatel považuje za zpracovatele osobních údajů a je tedy nutné mít vše pokryté uzavřenou zpracovatelskou smlouvou.

Dále je potřeba mít na paměti, že primární zodpovědnost vždy nese osoba, která online jednání zorganizovala.

Emaily či SMS obsahující přání k Vánocům

V minulých několika týdnech většina z nás obdržela email či SMS s přáním k svátkům. Podle zákona č. 480/2004 Sb., o některých službách informační společnosti se takové zprávy považují za obchodní sdělení, neboť se jedná o sdělení určené ke zlepšení image podniku.

Takováto obchodní sdělení však stále musí splňovat určité podmínky, nelze je posílat kdekomu. Emaily či SMS je možné poslat na kontakty, které:

  • V minulosti udělily souhlas se zasíláním obchodních sdělení. Těmto kontaktům je pak možné poslat samostatné přání.
  • Nebo kontaktům, které jsou s danou organizací v obchodním vztahu (v minulém či současném období). V tomto případě musí být přání připojeno k obchodnímu sdělení, které se bude týkat vlastních, obdobných výrobků či služeb, které byly dodány nebo poskytnuty v rámci obchodního vztahu. Není tedy možné poslat samostatné přání.

Další metody sledování kromě známých cookies

Mezi další nástroje, které nejsou zatím tak známé, diskutované a kontrolované je možno zařadit tzv. trackery a pixely. Tyto nástroje mají, stejně jako cookies, sledovat chování uživatele a shromažďovat o něm potřebné informace. Je možné je najít na většině webových stránek.

Trackovací, neboli sledovací / profilující pixel je pro uživatele neviditelný obrázek, který přidá provozovatel webu nebo odesílatel do emailu či odkazu. Po kliknutí na odkaz nebo pouhým otevřením emailu dostane autor informaci, že jste tak učinili.

Tyto sledovací nástroje a techniky tak zjišťují a posílají informace o uživateli, které jsou dále zpracovávány do profilů na základě kterých je zacílena reklama. Mezi získávané informace je možné zařadit:

  • IP adresu, ze které je možné zjistit poskytovatele internetových služeb, polohu a data z profilu na sociálních sítích.
  • Aktivitu vykonanou na daném webu.
  • Čas návštěvy webu nebo otevření emailu.
  • Používaný operační systém.
  • Typ webového prohlížeče.
  • Typ emailového klienta.
  • Použité rozlišení monitoru.

Trackery a pixely podléhají, stejně jako cookies, Nařízení GDPR a jejich autor by měl vždy na jejich využívání uživatele upozornit pomocí souhlasu. Výjimkou mohou být pouze případy, kdy tyto nástroje slouží k poskytnutí dané služby z hlediska technického nastavení a neposkytují specifické informace o každém uživateli.

Sledování pomocí pixelů je možné omezit, pokud:

  • Bude email a prohlížeč nastaven na nejvyšší úroveň ochrany soukromí.
  • Budete v prohlížeči používat rozšíření, které zviditelní sledovací pixely.
  • Budete používat anonymní procházení.
  • Zamezíte používání Javaskriptu v prohlížeči.

Zpracování biometrických osobních údajů

Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách neoficiální překlad materiálu Evropského inspektora ochrany údajů s názvem Čtrnáct nedorozumění ohledně biometrické identifikace a autentizace, který reflektuje současný zájem o oblast zpracování biometrických osobních údajů a upozorňuje na některá obecně rozšířená nedorozumění.

Mezi časté omyly a skutečnosti patří následující body:

  • Biometrická informace je uchovávána v samotném algoritmu – zpracované informace jsou uloženy v tzv. vzorech, šablonách či podpisech.
  • Užívání biometrických údajů je stejně rušivé jako jakýkoliv jiný identifikační / autentizační systém – zpracování biometrických údajů je více rušivé, dochází ke zpracování většího rozsahu osobních údajů.
  • Biometrická identifikace / autentizace je přesná – procentuálně je biometrická identifikace přesná na zhruba 96 % na rozdíl od hesla, kde musí být shoda 100%.
  • Biometrická identifikace / autentizace je natolik přesná, aby vždy rozlišila mezi dvěma osobami – v případě sourozenců může vzniknout chybovost správné identifikace.
  • Biometrická identifikace / autentizace je vhodná pro všechny osoby – některé osoby mající specifické biologické vlastnosti a fyziologické znaky nedokáže daný systém rozpoznat.
  • Postup biometrické identifikace / autentifikace nelze obejít – biometrickou identifikaci lze obejít pomocí 3D masek či kopií otisků prstů.
  • Biometrická informace nemůže být prozrazena – některé biometrické údaje je možné zjistit na dálku, např. pohybový vzorec chůze, obrysy obličeje apod.
  • Jakékoliv biometrické zpracování předpokládá identifikaci / autentizaci – biometrické údaje mohou sloužit pouze k rozlišování mezi člověkem a robotem, zvířetem či pohlavím aniž by docházelo k identifikaci.
  • Biometrické identifikační / autentizační systémy jsou pro uživatele bezpečnější – stejně jako u jiných systémů, může i zde dojít k porušení zabezpečení, které může vést k obdobným škodám jako v případě úniku hesla.
  • Biometrická autentizace je silná – systém založený pouze na biometrické identifikaci je považován naopak za slabé ověření.
  • Biometrická identifikace / autentizace je uživatelsky přívětivější – používání biometrické identifikace může navodit pocit narušení soukromí, dále mohou být některé osoby nekompatibilní či nemožnost přihlášení v případě selhání systému.
  • Biometrickou informaci převedenou do hashe nelze obnovit – odstraněný biometrický údaj lze znovu obnovit a přečíst.
  • Uložená biometrická informace neumožňuje rekonstrukci původní biometrické informace, ze které byla získána – z uložené biometrické informace lze částečně zrekonstruovat původní biometrický údaj, kterým může být např. obličej.
  • Biometrická informace není interoperabilní – systémy jsou naopak vytvářeny tak, aby byly schopny mezi sebou vzájemně spolupracovat.

Podrobnější informace naleznete na stránkách ÚOOÚ: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=43988.

Bezpečností incident – porušení zabezpečení osobních údajů

V současné době neplatí, že by správce osobních údajů musel ohlašovat každé porušení zabezpečení osobních údajů. Ohlašuje se pouze takový incident, který může mít za následek riziko pro práva a svobody fyzických osob. Správce osobních údajů musí ohlásit například ztrátu osobního spisu zaměstnance, avšak už není nutné hlásit ztrátu prezenční listiny ke školení.

Každé ohlášení porušení zabezpečení osobních údajů musí obsahovat (https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=5020):

  • Popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů.
  • Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace.
  • Popis pravděpodobných důsledků porušení zabezpečení osobních údajů (pozn. zejména ve vztahu vůči subjektům údajů).
  • Popis opatření, která správce / zpracovatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Porušení zabezpečení osobních údajů ohlásí správce osobních údajů dozorovému úřadu (Úřad pro ochranu osobních údajů) elektronickou formou použitím formuláře Ohlášení porušení zabezpečení osobních údajů dle GDPR, který zašle na e-mailovou adresu posta@uoou.cz nebo do datové schránky ÚOOÚ: qkbaa2n.

Pokud porušení zabezpečení osobních údajů zjistí zpracovatel osobních údajů, tak toto porušení ohlásí správci osobních údajů.

Incident se musí ohlásit ÚOOÚ do 72 hodin od okamžiku, kdy se o něm správce osobních údajů dozvěděl.

Jestliže je pravděpodobné, že má porušení zabezpečení osobních údajů za následek zásadní riziko pro práva a svobody dotčených osob, je nutné dané osoby o incidentu informovat. V případě nepřiměřeného úsilí při oznamování může správce osobních údajů informovat pomocí veřejného oznámení nebo podobného opatření.

Pokud se organizace řídí zákonem č. 181/2014 Sb., o kybernetické bezpečnosti může vznikat informační povinnost také vůči Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) či CSIRT.CZ.

Bezpečnostní rizika spojená s prací z domova

Současná situace ohledně šíření nakažlivé nemoci – koronaviru donutila mnoho zaměstnavatelů změnit pohled na práci z domova, tzv. home office. Práce z domova však sebou přináší jistá bezpečnostní rizika, která mohou mít dopad do oblasti ochrany osobních údajů.

Společnosti, jejíchž zaměstnanci začali z velké míry pracovat z domova, musí stále dodržovat platné smlouvy a s tím i dostatečná technická a organizační opatření zajišťující náležitou úroveň bezpečnosti. Společnosti budou muset zavést nové procesy práce s daty určující, jakým způsobem budou ukládána, jak a kdy budou odstraněna nebo zničena. Zaměstnanci mohou být donuceni využívat soukromá zařízení jako mobilní telefony a notebooky, které nemusí poskytovat dostatečné zabezpečení.

Zaměstnavatel by měl klást důraz zejména na následující body:

  • Všechna zařízení využívaná k práci musí být po dokončení práce uzamčena a uložena na bezpečném místě, kde nemůže dojít k odcizení. Zároveň by měla existovat možnost výmazu vybraných dat na dálku.
  • Zajistit softwarovou aktualizaci společně s pravidelným zálohováním dat.
  • Nastavit silná hesla a šifrování dat.
  • Pro pracovní účely nepoužívat soukromé e-mailové účty.
  • Připomínat obezřetnost na podvržené emaily – phishing (v dnešní době je zjištěn zvýšený počet útoků).
  • Dokumenty, které jsou za běžného chodu uloženy v uzamčené kartotéce, nenechávat volně na stole k nahlédnutí či ztrátě. Zároveň zajistit řádnou likvidaci všech dokumentů obsahující osobní údaje.

Zpracování osobních údajů prostřednictvím externího informačního systému

Za zpracování osobních údajů je vždy odpovědný správce osobních údajů (viz čl. 5 odst. 2 a čl. 24 Nařízení GDPR). Správce je odpovědný i za zapracování osobních údajů prostřednictvím externího informačního systému (informačního systému externího dodavatele). Správce má tedy povinnost zajistit a být schopen doložit, že zpracování osobních údajů je prováděno v souladu s Nařízením GDPR.

Při výběru informačního systému musí vždy správce osobních údajů posoudit možnosti jeho funkcionalit a nastavení, a to i s ohledem na ochranu osobních údajů (čl. 25 Nařízení GDPR – záměrná a standardní ochrana osobních údajů, čl. 5 odst. 1 Nařízení GDPR – základní zásady, např. minimalizace údajů).

Z hlediska ochrany osobních údajů je neakceptovatelné argumentovat skutečností, že správce osobních údajů využívá informační systém externího dodavatele, a že způsob či rozsah předmětného zpracování vyplývá z nastavení tohoto systému, který koupil či mu byl dodán. Pokud si správce osobních údajů pořizuje složitější informační systém, musí již od počátku spolupracovat s dodavatelem (vývojářem) informačního systému, aby informační systém odpovídal potřebám správce i s ohledem na jeho odpovědnost dle Nařízení GDPR.

ÚOOÚ upozorňuje, že nelze automaticky předpokládat splnění všech povinností ochrany osobních údajů pouze na základě skutečnosti, že stejný informační systém je využíván i dalšími obdobnými správci.

Podle GDPR má každý, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, právo obdržet od správce osobních údajů nebo zpracovatele osobních údajů náhradu. Vzhledem k tomu by správce osobních údajů, který má pochybnosti o nastavení systému externím dodavatelem v souladu s Nařízením GDPR, měl zvážit spolupráci raději s takovým, který nastavení systému garantuje a případně by se na pokrytí újmy podílel.

Cookies na webových stránkách – režim OPT-IN vs. OPT-OUT

Každá webová stránka si může ukládat informace o svém návštěvníkovi prostřednictvím cookies (datových souborů), které pat­ří mezi tzv. síťové identifikátory řešené v rámci GDPR. Existuje několik druhů cookies, od těch nejzákladnějších, které pomáhají nastavit správné zobrazení a fungování dané webové stránky, po cookies, které slouží k marketingovým účelům. Pro všechny cookies však platí, že správce webových stránek musí o používaných cookies informovat každého návštěvníka.

Varianty souhlasu s cookies na webových stránkách:

  • Režim OPT-IN: reklamní cookies se neuloží, dokud není kliknuto na „Souhlasím“. Souhlas se zpracováním osobních údajů není právoplatně udělen, pokud je políčko předem zaškrtnuté a uživatel musí sám souhlas zrušit odškrtnutím.
  • Režim OPT-OUT: cookies se ukládají, dokud je uživatel neodmítne.

Problematika cookies je řešena po celou platnost Nařízení GDPR. V současnosti ale panuje rozpor mezi českou právní úpravou cookies uvedenou v § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích (zde je dle jazykového výkladu uveden režim OPT-OUT) a směrnicí 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (tzv. směrnice o e-privacy), jež stanovuje režim OPT-IN, tedy možnost cookies odmítnout, nikoliv je aktivně povolit.

Zavedení režimu OPT-IN podpořil i Evropský sbor pro ochranu osobních údajů. ÚOOÚ tedy doporučuje upřednostnit v rámci cookies režim OPT-IN, jelikož se jedná o celoevropsky uznávaný přístup a zároveň je navrhován v rámci novelizace zákona o elektronických komunikacích.

Zpracovávání osobních údajů zaměstnanců

Dle Nařízení GDPR existuje celkem 6 důvodů, které opravňují zaměstnavatele ke zpracovávání osobních údajů zaměstnanců, avšak zaměstnavatel většinou použije následující:

  • zpracování je nezbytné k plnění smlouvy uzavřené se zaměstnancem (pracovní smlouva, DPČ, DPP);
  • zpracování je nezbytné k plnění právní povinnosti zaměstnavatele;
  • zpracování je nezbytné pro účely oprávněných zájmů zaměstnavatele;
  • zaměstnanec udělil souhlas.

Velice často se stává, že zaměstnavatel od svých zaměstnanců vyžaduje ke zpracování souhlas. Ten by měl být jednak použit velice opatrně a zároveň je ve většině případů použit zbytečně, neboť zaměstnavatel se primárně řídí plněním povinností plynoucí z uzavřené smlouvy a právních povinností uložené legislativou.

Po zániku pracovního vztahu je zaměstnavatel oprávněn uchovávat osobní údaje po nezbytně dlouhou dobu. Důvodem je primárně plnění zákonných lhůt archivace, ale i řešení případných sporů se zaměstnancem. Obvyklé lhůty pracovněprávních dokumentů jsou:

  • evidenční listy – 3 roky;
  • záznamy o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti – 6 let;
  • záznamy o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti u poživatelů starobního nebo invalidního důchodu – 10 let;
  • mzdové listy, účetní záznamy pro účely důchodového pojištění, např. doklady o pracovním vztahu, záznamy o pracovních úrazech, nemocech z povolání, záznamy o evidenci pracovní doby – 30 let.

Cíle a hodnocení zaměstnanců z pohledu osobních údajů

Stejně jako mzdová a personální agenda, tak i v případě cílů a hodnocení zaměstnanců se jedná o osobní údaje a je tedy nutné s nimi zacházet stejným způsobem.

Informace týkající se hodnocení pracovní výkonosti, dosažení ročních cílů zaměstnanců apod. je zaměstnavatel povinen zabezpečit a samozřejmě po uplynutí potřebné lhůty také zlikvidovat. Aktuálně platná legislativa bohužel neuvádí skartační lhůty týkající se těchto osobních údajů, je doporučeno tyto informace zachovávat přiměřeně dlouhou dobu po skončení pracovního poměru, neboť mohou být použity při obraně proti nařčení např. z diskriminace před soudem nebo pro případné kontroly inspekce práce. Jako přiměřeně dlouhá doba je v tomto případě doba trvání promlčecí lhůty, která trvá 3 roky.

Whistleblowing a ochrana osobních údajů

Whistleblowing je termín, kdy současný nebo bývalý zaměstnanec organizace upozorní oprávněný orgán či instituci na nezákonné nebo neetické chování zaměstnavatele.

Všechny členské státy EU musí do 17. prosince 2021 transponovat směrnici Evropského parlamentu a Rady (EU) 2019/1937 ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie (tzv. směrnici o whistleblowingu). Z tohoto důvodu Ministerstvo spravedlnosti vypracovalo návrh zákona o ochraně oznamovatelů protiprávních jednání – whistleblowerů, který je nyní v připomínkovém řízení.

V současné době zatím není známa konečná podoba zákona o ochraně oznamovatelů, je však možné konstatovat, že každá organizace bude povinna zavést nové procesy, které mj. budou muset respektovat ochranu osobních údajů.

Fotografie dětí na internetu

Městská část Praha 11 zveřejnila v rámci bezpečnostní prevence rizikovost sdílení fotek na internetu:

  • Nechtěný zájem o vaše dítě může vyvolat jedna jediná fotka umístěná veřejně kdekoli na síti. Je to fotka před domem, ve vaší čtvrti, u školy, v kroužku? Dáváte tím světu na vědomí, kde se vaše dítě pravidelně pohybuje.
  • Tisíce lidí cíleně procházejí profily na sociálních sítích, internetová alba, videa, blogy a další webové stránky jen za tím účelem, aby našly „atraktivní“ fotky či nahrávky dětí. Někteří se „jen“ podělí o své úlovky na diskuzním fóru, jiní mohou mít touhu se s takovým dítětem setkat. Ti, kteří pouze předávají fotky, dostávají obsah k dalším. Nemáte šanci je nikdy poznat, stejně jako jejich motivace.
  • Myslete na to, že každá fotka, kterou jednou vložíte, žije na internetu navždy. Nikdy ji nesmažete. Nevíte, kdo ji má v počítači, komu ji pošle, na co ji použije a za jak dlouho ji může nechat opět vynořit.
  • Na takzvaném darknetu, tedy ve veřejnosti složitě přístupné části internetu, jsou fotky dětí z celého světa, ke kterým si pedofilové předávají důvěrné informace a vkládají sexuálně laděné komentáře.
  • Nejde zdaleka jen o to, jaké informace sami zveřejníte o svém dítěti. Internet je přece síť a v kombinaci s fotkami potenciálně velmi nebezpečná. Jaké informace jste zveřejnili o sobě, jaké jste publikovali vlastní fotky? Kolik snímků má škola na svém Facebooku či webu a kolik kamarádi vašeho dítěte? K těm se dá přece také snadno dostat: jsou to přátelé na Facebooku, sledující a sledovaní na Instagramu, komentující na Youtube. Vše se doplňuje a je to mozaika plná vodítek.
  • Zdaleka ne poslední bod, ale jeden z hlavních: Jaké přátele sami máte na sociálních sítích, kde zveřejňujete fotky potomků? Jste schopni se za všechny zaručit? A pokud jste přesvědčeni, že ano, víte, jak mají silná hesla? Víte, kdo s nimi v domácnosti používá počítač nebo jiné zařízení, přes které přistupují na sítě? Víte, že se nikde nezapomínají odhlásit?

Doporučujeme k pročtení celý článek, který zasazuje celý problém do reálného prostředí a vše dokresluje (http://www.praha11.cz/redakce/index.php?lanG=cs&slozka=7532&xsekce=8265&clanek=12427).

Kopírování dokladů zaměstnanců

  • V případě daňových úlev zaměstnanců (např. na manželku, děti, hypoteční úroky) je plátcem daně zaměstnavatel. Ten má dle zákona č. 586/1992 Sb., o daních z příjmů povinnost předkládat daňová přiznání, ve kterých musí uvedené informace korespondovat s informacemi na předložených dokladech zaměstnanců.
  • Dle stanoviska ÚOOÚ není dovoleno pořizovat kopie předkládaných dokladů zaměstnanců pro důkazní účely v následných kontrolách. Kopie dokladů a listin je možné pořizovat pouze v případě zahájení kontroly Finančním úřadem.

Poskytovatel cloudových či hostingových služeb je zpracovatel osobních údajů

  • Mnoho společností, které nabízejí služby jako cloudové úložiště nebo zajišťují hostingový prostor, se často dle jejich názoru neřadí mezi tzv. zpracovatele osobních údajů. Jejich argumentací je skutečnost, že osobní údaje u nich uložené jsou šifrované, pseudonymizované a že nikdo ze zaměstnanců nemá k datům přístup ani je nijak nezpracovává. Avšak podle čl. 4 odst. 2 Nařízení GDPR je zpracováním osobních údajů i jejich pouhé uložení. Pro správce osobních údajů pak vyplývá povinnost s každým zpracovatelem osobních údajů uzavřít zpracovatelkou smlouvu.

Na co si dát pozor ve zpracovatelských smlouvách

  • Smlouva musí být uzavřena písemně či elektronicky. Pokud je smlouva nepsaná či zcela chybí, jedná se o porušení Nařízení GDPR a vinni jsou zpracovatel osobních údajů i správce osobních údajů.
  • Zpracovatelské smlouvy vytvořené samotným zpracovatelem osobních údajů velice často „kopírují“ text čl. 28 Nařízení GDPR a zcela opomíjí důležité části a informace.
  • Velice často ve smlouvách chybí předmět zpracování osobních údajů nebo není jasně specifikovaný. Stejně tomu je v případě trvání zpracování, kdy údaj musí mít jasné časové vymezení.
  • Povaha zpracování osobních údajů má reflektovat skutečné činnosti prováděné zpracovatelem. Příkladem může být: natáčení, nahrávání a archivace fotek.
  • Účel zpracování osobních údajů by neměl kopírovat účel uzavřené smlouvy. Správně formulovaným účelem je například detekce nezákonného vstupu na pozemek namísto pouhého provozování kamerového systému.
  • Zpracovatel by měl osobní údaje zpracovávat pouze na pokyn správce osobních údajů. Pokud zpracovatel osobních údajů překročí pokyny, které mu ke zpracování udělil správce, jednak porušuje své povinnosti a zároveň se sám stává správcem osobních údajů. To, jakým způsobem (např. email) bude zpracovateli dán pokyn ke zpracování, by mělo být jasně stanoveno v každé zpracovatelské smlouvě.
  • Jednou z nejčastějších chyb zpracovatelských smluv je nedostatečný popis nebo absence bezpečnostních opatření. Mnoho zpracovatelů osobních údajů pouze uvede informaci, že se zavazuje přijmout vhodná bezpečností opatření, avšak už není popsáno jaká.

Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím – ukončení platnosti Privacy Shield pro zpracování osobních údajů mimo EU

  • Problematiku předávání osobních údajů do třetích zemí nebo mezinárodním organizacím (dále jen „třetí země“) řeší Nařízení GDPR v kapitole V, čl. 44 – 50. Třetí zemí jsou míněny země mimo Evropskou unii. Definovaná pravidla respektují zásadu volného pohybu osobních údajů v rámci Evropské unie, tedy že nelze pouze z důvodu ochrany osobních údajů zakázat nebo omezit předávání údajů z jednoho členského státu EU do druhého. Jedná se i o služby hromadného rozesílání e-mailů (např. Sendgrid / Twilio) nebo formulářových řešení (např. Formstack).
  • Nařízení GDPR rozlišuje (podle způsobu, jakým jsou ve třetích zemích předávaným osobním údajům poskytovány / neposkytovány záruky jejich ochrany) tři úrovně předávání osobních údajů:
    • předávání založené na rozhodnutí o odpovídající ochraně,
    • předávání založené na vhodných zárukách garantovaných správcem / vývozcem údajů,
    • předávání založené na tzv. výjimkách pro specifické situace.
  • Při předávání osobních údajů do třetích zemí musí být vždy dodržena zásada odpovídající úrovně ochrany osobních údajů.
  • O tom, zda třetí země jako celek, příp. určité území nebo odvětví ve třetí zemi zajišťuje odpovídající úroveň ochrany osobních údajů, rozhoduje Evropská komise (viz čl. 45 Nařízení GDPR).

I. Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím s dostatečnou úrovní ochrany osobních údajů

II. Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím s nedostatečnou úrovní ochrany osobních údajů

  • Třetí země, které Evropská komise neprohlásila svým rozhodnutím o odpovídající úrovni ochrany osobních údajů za bezpečné, jsou považovány za třetí země s nedostatečnou úrovní ochrany osobních údajů. Do těchto „nebezpečných“ třetích zemí je předání osobních údajů obecně možné jen na základě vytvoření vhodných záruk podle čl. 46 Nařízení GDPR, nebo ve specifických situacích podle čl. 49 Nařízení GDPR.
  • Správce osobních údajů může předání osobních údajů do „nebezpečných“ třetích zemí realizovat bez předchozího povolení ÚOOÚ, pokud využije některý ze standardních nástrojů pro vytvoření vhodných záruk (viz čl. 46 Nařízení GDPR, odst. 2):
    • a) právně závazný a vymahatelný nástroj mezi orgány veřejné moci nebo veřejnými subjekty, tzn. zpravidla mezinárodní smlouva;
    • b) závazná podniková pravidla;
    • c) a d) standardní smluvní doložky podle rozhodnutí Komise (ať již přijaté Komisí přímo nebo schválené Komisí po předložení dozorovým úřadem);
    • e) schválený kodex chování v kombinaci se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky;
    • f) schválená certifikace v kombinaci se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky.
  • Povolení ÚOOÚ je nutné získat pouze v případech, kdy správce osobních údajů hodlá předání osobních údajů realizovat na základě nestandardních nástrojů pro vytvoření vhodných záruk (viz čl. 46 Nařízení GDPR, odst. 3):
    • a) nestandardní smluvní doložky;
    • b) správní ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektů údajů.
  • V těchto případech ÚOOÚ v rámci povolení schvaluje navrhovaný nestandardní nástroj pro předávání osobních údajů, který vyžaduje plné uplatnění mechanismu jednotnosti včetně vydání kladného stanoviska Evropským sborem pro ochranu osobních údajů.

III. Předávání osobních údajů do Spojených států amerických

  • Pro předávání osobních údajů do Spojených států amerických byl do půlky července 2020 využíván tzv. EU−U.S. Privacy Shield (štít soukromí EU−USA), který byl definován prováděcím rozhodnutím Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí.
  • Do programu EU−U.S. Privacy Shield byly zapojeny americké společnosti, které se zavázaly k dodržování evropských standardů ochrany osobních údajů při zpracování údajů evropských osob ve Spojených státech amerických (příjemce osobních údajů se přihlásil k pravidlům programu Privacy Shield a nechal se zapsat na seznam vedený americkými úřady, poté se již z pohledu GDPR jednalo o bezpečného příjemce a předání dat bylo legální při dodržení stanovených pravidel).
  • Změna v platnosti štítu soukromí EU−USA nastala dne 16. 7. 2020, kdy Soudní dvůr Evropské unie svým rozsudkem ve věci C-311/18 Data Protection Commissioner vs. Facebook Ireland Limited a Maximillian Schrems (tzv. Schrems II) odmítl platnost EU−U.S. Privacy Shield, tj. rozhodl, že rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 je neplatné, ale zároveň nezrušil ani nezpochybnil rozhodnutí týkající se standardních smluvních doložek (https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:62018CJ0311&from=CS).
  • Podle rozhodnutí Soudního dvora Evropské unie štít soukromí EU−USA nezajišťuje dostatečnou ochranu dat evropských uživatelů. S okamžitou platností jsou proto všechny přenosy osobních údajů z EU do USA, které byly dříve založeny na EU-U.S. Privacy Shield jako právním základu, nepřípustné.
  • V současné době společnosti mohou pro přenos osobních dat do USA použít např. smlouvu o předávání údajů, tzv. standardní smluvní doložky, které musí uzavřít ten kdo data z EU předává (správce) a jejich příjemce.
  • Soudní dvůr Evropské unie svým rozsudkem standardní smluvní doložky sice nezrušil, ale jejich použití podmiňuje testem přiměřenosti přijatých opatření v závislosti na okolnostech předání a zemi dovozce údajů. O tom, zda budou moci společnosti data převádět mimo EU, budou podle Soudního dvora Evropské unie rozhodovat unijní dohledové úřady. Dohledové úřady budou povinny dočasně nebo trvale zakázat předávání osobních údajů do třetí země, pokud v ní nebude zajištěna ochrana vyžadovaná unijním právem.
  • Dle vydaného rozhodnutí Soudní dvůr Evropské unie má předně za to, že unijní právo, a zejména GDPR, se uplatní na předávání osobních údajů prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi i tehdy, když tyto údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu.

Střet zájmů Pověřence pro ochranu osobních údajů

  • Při jmenování Pověřence pro ochranu osobních údajů v rámci organizace je důležité předejít případnému střetu zájmu. Nařízení GDPR (čl. 38 odst. 6) stanovuje, že „Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.“
  • Absence střetu zájmů úzce souvisí s požadavkem kladeným na Pověřence pro ochranu osobních údajů jednat nezávisle, tj. Pověřenci mohou v rámci organizace zastávat i jiné funkce, ale jinými úkoly a povinnostmi je lze pověřit jenom za předpokladu, že u nich nedojde ke střetu zájmů. Pověřenec pro ochranu osobních údajů tedy nemůže v rámci organizace zastávat pozici, ve které by měl určovat účely a prostředky zpracování osobních údajů, např. pozici vedoucího pracovníka či pozici personalisty, IT atd.

Zpracování osobních údajů v rámci opatření proti šíření koronaviru

Hrozba kybernetických útoků – hackeři útočí na nemocnice, městské části i ministerstva

  • V poslední době se v České republice velmi často vyskytují kybernetické útoky na nemocnice, města / městské části i ministerstva. Napaden byl např. informační systém městské části Prahy 3, informační systém státního podniku Povodí Vltavy. Hackeři se dále pokusili napadnout několik nemocnic, energetickou společnost ČEZ Distribuce, Ministerstvo zdravotnictví (tyto útoky byly odvráceny).
  • Hackeři využívají současnou situaci ohledně šíření nakažlivé nemoci COVID-19 a rozesílají e-maily s odkazy na podezřelé stránky s označením koronavir nebo COVID, po jejichž otevření získají kontrolu nad informačním systémem oběti.
  • Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v souvislosti s hrozbou doporučuje několik bezpečnostních opatření. Zařízení by mělo upozornit uživatele systémů na podezřelé soubory (typu obrázek .png, .exe, text .txt, .exe, dokument .pdf, .exe a další podobné přílohy). Pokud je to možné, mělo by se také pomocí centrálního nastavení zabránit spouštění aktivního obsahu a maker především v souborech s přílohou doc.

Identifikace osob prostřednictvím otisku prstu

  • Otisk prstu, který je jednoznačnou charakteristikou člověka, spadá dle Nařízení GDPR do zvláštní kategorie osobních údajů. Při zpracování zvláštních kategorií osobních údajů je nutné, aby správce osobních údajů disponoval některým z obecných právních titulů i právním titulem pro zpracování zvláštních kategorií údajů a subjekt údajů udělil správci souhlas se zpracování svých osobních údajů.
  • Systémy umožňující identifikaci osob na základě technologie rozpoznání otisku prstů (např. docházkové systémy / docházkové terminály) vybírají z poskytnutého otisku prstu některé rysy specifické pro dané jednotlivce (tzv. markanty). Systém vytváří biometrickou šablonu na základě zjištěných markant, kterou před uložením v systému zpracuje matematickou operací do číselného vyjádření, tzv. hash kódu. Takto vytvořený hash kód (tj. otisk prstu převedený do číselné podoby) je následně uložen v řídící jednotce systému, zatímco obraz otisku prstu a zjištěné markanty jsou ihned po vytvoření hash kódu mazány.
  • V souvislosti s účinností Nařízení GDPR, které mimo jiné zohledňuje vývoj technologií v oblasti zpracovávání osobních údajů, došlo ke změně v posuzování šablon biometrických údajů (hash), a jejich zpracování za účelem identifikace osob. Z pohledu této právní regulace je nutno i využívání systémů pracujících s šablonami (tj. nikoli přímo s biometrickými údaji, ale jejich algoritmickým vyjádřením v podobě hash kód) považovat za zpracování zvláštních kategorií osobních údajů, které vyžadují zvláštní, resp. přísnější systém ochrany. Postup spočívající ve vytvoření a následném využívání hash biometrického údaje lze považovat za jeden z prvků zabezpečení, není však důvodem k vyjmutí ze zvláštních kategorií osobních údajů.
  • Dle vyjádření ÚOOÚ by zpracování biometrických údajů za účelem jednoznačné identifikace osob v rámci docházkových systémů mělo být využíváno pouze ve výjimečných situacích, kdy jiné řešení spočívající v prosté evidenci osob není s ohledem na specifické okolnosti dostačující (viz základní zásady zpracování osobních údajů – minimalizace rozsahu zpracovávaných osobních údajů).
  • Tedy i v případě, že je otisk prstu uložen ve formě hash kódu, se jedná o zpracování zvláštní kategorie osobních údajů a je nezbytné, aby subjekt údajů udělil správci souhlas se zpracování svých osobních údajů.

Hry / aplikace umožňující lépe pochopit základní principy ochrany osobních údajů

Pro rozšíření povědomí o principech ochrany osobních údajů a využívání služeb informační společnosti je vhodné začlenit problematiku i do vzdělávacího systému. V současné době existuje již několik her / aplikací, které umožňují lépe pochopit základní principy ochrany osobních údajů:

  • Interland: Hra od Googlu přináší čtyři napínavá dobrodružství se spoustou nástrah i legrace. Kromě získání úrovně “internetový Úžasňák” se lze naučit jak si poradit s hackery, phishery, kyberšikanou nebo sdílením informací na sociálních sítích. (https://www.e-bezpeci.cz/index.php/tiskove-zpravy/1914-nova-webova-hra-interland-od-googlu-uci-deti-bezpecne-pouzivat-internet)
  • Digitální stopa: Projekt NÚKIB názorně ukazuje, jak málo stačí, aby se člověk stal obětí kyberšikany, a poskytuje návod, jak tento problém řešit. (https://moodle.nic.cz/mod/page/view.php?id=345)
  • Bad News: Mezinárodně rozšířená hra, vytvořená nevládní organizací think-tank Evropské hodnoty, o dezinformacích a jejich nebezpečí. Hra zábavnou formou provádí základními manipulačními technikami. (https://www.getbadnews.cz/droggame_book/junior/#intro)
  • Než řekneš ano: Poučná on-line hra vytvořená spotřebitelskou organizací BEUC a dTest. Ve hře pomůžete Sáře a Kristiánovi naplánovat včas svatbu a vyhnout se přitom některým internetovým nástrahám. Narazíte na bezpečnost přístupových hesel, nakupování v e-shopu, komunikaci na sociálních sítích, ale třeba také rychlé odstranění poškozujícího online obsahu, odhalení podvodného e-mailu či obranu proti kyberzločinu. (https://www.nezreknesano.cz/)
  • Cyber Chronix: Aplikace z dílny Evropské komise, v rámci které pomůžete hrdinům ze vzdálené planety překonávat překážky spojené s ochranou osobních dat. (https://ec.europa.eu/jrc/en/news/understanding-gdpr-new-game-jrc)
  • Webowou diwočinou: Hra vytvořená Radou Evropy v rámci programu „Budujeme Evropu pro děti a s dětmi“. V rámci hry si vytvoříte vlastní postavičku a projdete se úžasnou zemí fantazie, a to včetně nástrah a úkolů ohledně ochrany vašich osobních údajů. (https://www.uoou.cz/webowou-diwocinou/ds-2433/archiv=0)

ÚOOÚ vytvořil na svých webových stránkách rubriku „Pro mládež“

  • ÚOOÚ vytvořil na svých webových stránkách rubriku „Pro mládež“, která obsahuje cenné informace k ochraně osobních údajů v hravé a zajímavé formě. https://www.uoou.cz/pro-mladez/ds-2331/p1=2331
  • Rubrika „Pro mládež“ obsahuje záložky Aktuality, Hry, Bezpečně na internetu, Kovyho mediální ring, Digi-obránci, Soutěže, Ultimátní příručka pro soukromí na Androidu, O vašich právech, Jak se chovat online, Archiv.

Šíření obchodních sdělení elektronickými prostředky

  • Elektronická obchodní sdělení musí být šířena v rámci zákonem stanovených pravidel, např. dle zákona o některých službách informační společnosti, zákona o regulaci reklamy, Nařízení GDPR (při šíření obchodních sdělení dochází ke zpracování osobních údajů).
  • Bez nutnosti zajištění souhlasu je možné obchodní sdělení zasílat pouze zákazníkům, kteří si u daného obchodníka zakoupili zboží / službu. Vždy se ale musí jednat o sdělení relevantní k předmětu jejich nákupu. Pro ostatní kategorie osob je vyžadován souhlas, který musí být evidován, uschován a adresáti musí mít možnost jej vzít zpět.
  • E-mail s obchodním sdělením musí být označen jako obchodní sdělení nebo pojmem s obdobným významem (např. newsletter, reklama apod.), musí obsahovat označení osoby, která sdělení odesílá, i osoby, za kterou je sdělení odesíláno.
  • Za šíření nevyžádaných obchodních sdělení jsou udělovány pokuty, např. Městský soud v Praze udělil pokutu ve výši 80 tisíc korun. Podle rozsudku vydaného Městským soudem v Praze v dubnu 2020 je za šíření nevyžádaných obchodních sdělení zodpovědný jak rozesílatel, tak i objednavatel (v kontextu zasílání e-mailových obchodních sdělení podle zákona o službách informační společnosti).
  • Za šíření obchodních sdělení elektronickými prostředky nelze tedy považovat pouze osobu odesílatele, nýbrž i osobu, která jejich odeslání obchodních sdělení iniciovala, dala k němu příkaz či z něj také profitovala. V tomto případě se totiž aplikuje objektivní odpovědnost za zasílání, kterou nelze smluvně přenést.

Pokuta za uchovávání nadbytečných dokumentů / kopií ve spisech zaměstnanců

ÚOOÚ udělil organizaci pokutu za uchovávání nadbytečných kopií ve spisech zaměstnanců. Problém uchovávání nadbytečných dokumentů (především kopie různých dokladů) o zaměstnancích se bohužel stále týká řady zaměstnavatelů. Při provedené kontrole ÚOOÚ zpochybnil uchovávání dokumentů, u kterých je jejich uchovávání skutečně neobhajitelné (kopie občanských průkazů, cestovních pasů apod.), uchovávání originálů výpisů z rejstříku trestů, kopie kartiček pojištěnce nebo bankovních kartiček s číslem účtu, ale i uchovávání daňových dokumentů (rodné listy, oddací listy, rozsudky o rozvodu manželství apod.) s poznámkou, že tyto doklady obsahují i řadu údajů třetích osob (dětí a manželů zaměstnanců).

Přestože realita je taková, že veškeré ostatní kontrolní úřady (kromě ÚOOÚ) mají tendenci vyžadovat jakékoli kopie dokumentů, nezbytné pro kontrolu to není a z pohledu ÚOOÚ stačí, pokud zaměstnavatel do dokladu nahlédne a učiní o tom záznam s upřesněním, ze kterého dokladu byla předmětná skutečnost dovozena.

Absence zákonné povinnosti mlčenlivosti v zákoně o zpracování osobních údajů

Oproti předchozí právní úpravě není v zákoně č. 110/2019 Sb., o zpracování osobních údajů, ukotvena zákonná povinnost mlčenlivosti všech zaměstnanců správce osobních údajů či jeho smluvních partnerů.

Povinnost mlčenlivosti je zakotvena v aktuálně platném zákoně o zpracování osobních údajů pouze v hlavě IV (Ochrana osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky) § 47, která reguluje ochranu osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky. Předmětná povinnost se tak vztahuje, jak zmiňuje i důvodová zpráva k zákonu č. 110/2019 Sb., na zpracování prováděné zpravodajskými službami, tj. na zpracování zcela mimo působnost Nařízení GDPR.

Aktuálně platné znění zákona č. 110/2019 Sb. tedy vůbec neřeší zákonnou povinnost mlčenlivosti o osobních údajích pro zaměstnance či smluvní partnery správce či zpracovatele osobních údajů (neřeší zákonnou povinnost mlčenlivosti při zpracování osobních údajů u jiných činností jako např. při zpracování osobních údajů orgány veřejné správy nebo podnikatelskými subjekty, na která dopadá Nařízení GDPR). O vypuštění této povinnosti ve vztahu k jiným zpracováním než zpravodajskými službami mlčí i důvodová zpráva k zákonu č. 110/2019 Sb., a není tak zcela zřejmé, zda se jedná o úmysl či spíše opomenutí zákonodárce.

Doporučujeme proto zaměstnavatelům zakotvit takovou povinnost do pracovních smluv či dodatků k již uzavřeným pracovním smlouvám.

Udělení souhlasu s cookies na webových stránkách

Každá webová stránka si může ukládat informace o svém návštěvníkovi prostřednictvím cookies, které pat­ří mezi tzv. síťové identifikátory řešené v rámci GDPR.

Z rozsudku Soudního dvora EU ze dne 1.10.2019 (C‑673/17) ale vyplývá, že použití předem zaškrtnutých políček pro poskytnutí souhlasu se zpracováním osobních údajů je nevhodné jak obecně, tak vzhledem k povolení ukládání cookies zvlášť, tj. souhlas se zpracováním osobních údajů není právoplatně udělen, pokud jsou ukládání informací nebo přístup k již uloženým informacím v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies povoleny předem zaškrtnutým políčkem, jehož zaškrtnutí musí tento uživatel k odmítnutí svého souhlasu zrušit.

Subjekt osobních údajů by měl vždy obdržet mj. též informaci o době existence cookies a o tom, kdo k nim může získat přístup.

Uvádění rodného čísla při exekuci, v dražební vyhlášce

  • Rodné číslo lze – v souladu s § 13c zákona č. 133/2000 Sb., o evidenci obyvatel – využívat, jen jde-li o činnost ministerstev, jiných správních úřadů, orgánů pověřených výkonem státní správy, soudů, vyplývající z jejich zákonem stanovené působnosti, nebo notářů pro potřebu vedení Centrální evidence závětí. Podle § 28 zákona č. 120/2001 Sb., exekuční řád se úkony exekutora při provádění exekuce považují za úkony exekučního soudu, proto je soudní exekutor oprávněn využívat při své činnosti rodná čísla. Nejvyšší správní soud v rozsudku (sp. zn. 1 As 36/2008-77) judikoval, že účelem zpracování rodného čísla je zjištění co nejrychlejšího a nejefektivnějšího provedení exekuce a smyslem poskytnutí rodného čísla osoby, na jejíž majetek byla prohlášena exekuce, je umožnit vyšetření majetkové situace povinného exekutorem.
  • Exekutor tak využívá znalost rodného čísla při podávání žádosti o součinnost dle exekučního zákona, avšak žádné procesně právní předpisy neukládají exekutorovi povinnost označovat osoby ve svých rozhodnutích či jiných listinách rodným číslem. Exekutor tedy nemůže neomezeně nakládat s rodným číslem, ale musí při jeho používání současně respektovat ustanovení zákona č. 110/2019 Sb., o zpracování osobních údajů. To, že účastník může být v návrhu (tj. v úkonu činěném jiným účastníkem) označen rodným číslem, nezakládá soudnímu exekutorovi právní titul k tomu, aby používal rodná čísla neomezeně ve všech listinách, které označení povinného vyžadují.
  • Pro dražební vyhlášku je z logiky věci nejpodstatnější otázka předmětu dražby. Kdo je povinným není pro konání dražby z hlediska možného zásahu do práv jakýchkoli osob nijak rozhodující, a tedy není zjevné, proč účastník řízení trvá na identifikaci rodným číslem právě v tomto typu listiny.

Transparentní účet a ochrana osobních údajů

  • Transparentní účet − bankovní účet, do kterého může nahlížet veřejnost − obsahuje údaje (název účtu, zpráva pro příjemce, výše, datum a typ platby), na jejichž základě lze ztotožnit konkrétní osobu.
  • Majitel transparentního účtu je povinen dostatečně informovat o povaze tohoto účtu osoby, které zasílají finanční plnění na tento účet, tj. musí být zřejmé, že se nejedná o běžný účet, u kterého se příchozí a odchozí platby spolu s dalšími informacemi nezveřejňují. Při provedení platby nelze jako variabilní symbol použít rodné číslo, protože rodné číslo je specifický identifikátor, jehož účely použití stanoví zákon o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon č. 133/2000 Sb.). Jako variabilní symbol je tedy nezbytné volit jinou číselnou kombinaci, která neobsahuje další informace o dané osobě.
  • Vzhledem k veřejnosti transparentního účtu nelze tento typ bankovního účtu používat např. k výplatě mezd zaměstnancům. Případné související převody peněz mezi běžným a transparentním účtem je třeba provádět souhrnně (např. výplaty, poplatky, pokuty).

Aktualizace Metodického návodu k aplikaci zákona o registru smluv

Ministerstvo vnitra ČR na svých webových stránkách zveřejnilo aktualizaci metodické pomůcky k anonymizaci zveřejňovaných dokumentů – Metodického návodu k aplikaci zákona o registru smluv, který mimo jiné obsahuje i požadavky na anonymizaci smluv před jejich vložením.

V současné verzi Metodického návodu k aplikaci zákona o registru smluv oproti předcházející verzi byly doplněny nové skutečnosti, které přinesla novela zákona registru smluv provedená zákonem č. 177/2019 Sb., kterým se mění zákon č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů.

Nejzásadnější změnou je zrušení požadavku na anonymizaci jména osoby jednající za smluvní stranu: „Jednající / Zastoupená − Případná anonymizace tohoto údaje nemá vliv na platnost a účinnost smlouvy a ani není protiprávním jednáním. Jedná se sice o osobní údaj, ale u veřejnoprávních subjektů lze bez dalšího zpracovat osobní údaje o veřejně činné osobě, funkcionáři nebo zaměstnanci veřejné správy, které vypovídají o jeho veřejné nebo úřední činnosti nebo o jeho funkčním nebo pracovním zařazení. U soukromoprávních subjektů je možné neanonymizovat osobní údaje, které jsou na základě zákona přístupné, jedná se tedy zejména o údaje o osobách, které jsou statutárními orgány obchodních korporací.“

Plné znění Metodického návodu k aplikaci zákona o registru smluv v aktuální verzi je uvedeno na webové stránce MV ČR https://www.mvcr.cz/clanek/registr-smluv.aspx?q=Y2hudW09OQ%3D%3D.

Aktualizace dokumentu k povinnosti správců provádět DPIA

ÚOOÚ vydal aktualizovanou verzi dokumentu K povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA), která byla doplněna o seznam druhů operací zpracování nepodléhajících posouzení vlivu na ochranu osobních údajů.

Podle § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, není správce povinen provádět posouzení vlivu na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést. To znamená, že všechna zpracování osobních údajů, která jsou uložena národní legislativou, jsou od zpracování DPIA osvobozena.

Dokument je určen správcům při usnadnění rozhodování o tom, zda konkrétní zpracování podléhá povinnosti posouzení vlivu na ochranu osobních údajů či nikoliv.

Aktualizovaný dokument, který je nyní vydán pod názvem Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů (verze 1.0), je zveřejněn na webové stránce ÚOOÚ https://www.uoou.cz/povinnosti-spravcu/ds-5856/p1=5856.

Pokyny ke zpracování osobních údajů prostřednictvím videozařízení (kamerových systémů)

ÚOOÚ zveřejnil na svých webových stránkách vlastní shrnutí zásadních částí aktuálních pokynů Evropského sboru pro ochranu osobních údajů (EDPB) provozovatelům kamerových systémů.

Klíčová doporučení v oblasti provozu kamerových systémů jsou:

  • Instalace videozařízení ke sledování lidí je zákonná pouze tehdy, když zpracování osobních údajů prostřednictvím videozařízení se opírá o jeden nebo více právních důvodů vyjmenovaných v čl. 6 odst.1 Nařízení GDPR, tj. např. o oprávněný zájem a plnění úkolu ve veřejném zájmu.
  • Možnost nasazení monitorovacích kamer končí na hranicích pozemku správce.
  • Udělování souhlasu v případě video monitoringu je spíše výjimečné vzhledem k povaze technologie.
  • V případě zpřístupnění kamerového záznamu třetí straně se vždy jedná o nové zpracování osobních údajů, pro které je nezbytné mít zákonný důvod podle čl. 6 odst. 1 Nařízení GDPR. Poskytnutí záznamu donucovacím orgánům představuje samostatné zpracování vyžadující odůvodnění ze strany správce.
  • V případě kamerového systému navrženého záměrně ke zpracování zvláštních kategorií osobních dat, musí být správce schopen doložit nejenom zákonný důvod podle čl. 6 odst. 1 Nařízení GDPR, ale také existenci výjimky podle čl. 9 Nařízení GDPR. Při zpracování tohoto druhu osobních údajů je nezbytné zvážit uplatnění vyšší úrovně datové bezpečnosti a příp. i vypracování posouzení vlivu na ochranu osobních údajů (DPIA).
  • Ve většině případů při sledování biometrických údajů (především v systémech rozpoznávání podle obličeje / tváře) vyžaduje použití takového video zařízení soukromým provozovatelem výslovný souhlas subjektu údajů, resp. správce musí při použití pro účely ztotožnění, nabídnout i alternativu bez zpracování biometrických dat, a to bez požadavku extra nákladů pro jednotlivce.
  • V případě ochrany práv třetích osob na záznamu lze použít software pro rozostření nebo maskování.
  • V případě nasazení kamerového systému se záznamem lze uplatnit právo na výmaz. Za vymazání se považuje i rozostření obrazu bez možnosti jeho zpětného obnovení. V souvislosti s kamerovým sledováním pro účely přímého marketingu je ovšem právo vznést námitku absolutní a subjekt údajů ho může uplatnit podle libosti.
  • Při provozování kamerového systému musí správce splnit informační povinnost – před vstupem do sledovaného prostoru musí být viditelně umístěna informační (varovná) tabule, na které je čitelně uvedený účel sledování, totožnost a kontakt na správce, poučení o právech subjektů údajů, informace o podstatných dopadech monitorování a informace o možnosti získat další a podrobnější informace (např. formou dostupného letáku, dobře viditelného plakátu nebo digitální cestou).
  • Pokyny nestanovují konkrétní přípustnou dobu uchování videozáznamu, jako pomyslné dělítko zmiňují hranici 72 hodin. Lhůty delší než 72 hodin budou vyžadovat hlubší zdůvodnění.
  • V průběhu shromažďování a uchovávání záznamů musí správce uplatňovat taková technická a organizační opatření, která odpovídají úrovni rizika, jež dané zpracování představuje pro práva a svobody jednotlivců (ochrana před náhodným či nezákonným zničením, ztrátou, pozměněním, neoprávněným zpřístupněním nebo neoprávněným přístupem).
  • Při instalaci videozařízení určených k monitorování osob vzniká ve většině případů povinnost vypracování posouzení vlivu na ochranu osobních údajů (DPIA). ÚOOÚ doporučuje všem správcům provozující kamerový systém prověřit, zda se na něho povinnost zpracování DPIA vztahuje či nikoliv.

Dokument Shrnutí Pokynů 3/2019 ke zpracování osobních údajů prostřednictvím videozařízení (dokument v českém jazyce) je zveřejněn na webové stránce ÚOOÚ https://www.uoou.cz/uoou-shrnul-to-nejdulezitejsi-z-nbsp-novych-pokynu-ke-nbsp-kameram/d-39551.

Pokyny 3/2019 schválené EDPB v anglickém jazyce (Guidelines 3/2019 on processing of personal data through video devices, Version 2.0) jsou zveřejněny na webové stránce ÚOOÚ https://www.uoou.cz/sbor-vydal-nove-pokyny-provozovatelum-kamerovych-systemu/d-39498.

Splnění informační povinnost vůči návštěvníkům budovy

Právem vlastníka budovy je provádět kontrolu vstupu návštěvníků do budovy, a to s ohledem na jeho odpovědnost za majetek, provoz, případně i zajištění bezpečnosti osob nacházejících se uvnitř budovy.

Dle výkladu ÚOOÚ může správce po návštěvníkovi budovy (subjektu údajů), která není určena k běžným návštěvám veřejnosti, požadovat, aby uvedl jméno navštívené osoby (příp. číslo kanceláře) a poskytl své identifikační údaje v rozsahu jméno a příjmení. V případě pracovního jednání je důvodné vyžadovat i předložení služebního průkazu, jehož číslo vč. názvu vysílající instituce lze v této souvislosti taktéž zaznamenat. Pokud je návštěva vykonána mimo rámec pracovní či služební povinnosti, představuje takovýto doklad především občanský průkaz nebo cestovní doklad, případně i jiný, účelu návštěvy odpovídající dokument (např. předvolání).

Zpracování osobních údajů přitom probíhá na základě oprávněného zájmu podle čl. 6 odst. 1 písm. f) Nařízení GDPR. Oprávněný zájem spočívá v zajištění bezpečnosti lidí a majetku, které bude probíhat mimo jiné i pomocí možnosti následné identifikace návštěvníka, např. v případě mimořádné události přímo či nepřímo související s jeho pobytem v budově (např. bezpečnostního incidentu).

O porušení pravidel zpracování osobních údajů by se jednalo v případě, že správce budovy bude bez opodstatněného důvodu požadovat po návštěvníkovi budovy nadbytečné údaje (např. adresu bydliště).

Zdravotní pojištění – Evropský průkaz zdravotního pojištění (kartička pojišťovny)

Nárok na lékařské ošetření v jiné členské zemi Evropské unie, které je neodkladné a nemůže počkat do návratu domů, má každý občan EU pokud náhle onemocní během svého dočasného pobytu v členské zemi Evropské unie (např. na dovolené, služební cestě, školním zájezdu, stáži atd.).

V případě uchovávání a předložení originálu (nikoliv kopie) Evropského průkazu zdravotního pojištění zdravotnickému zařízení se nejedná o zpracování osobních údajů. Stále platí že není doporučováno, pořizovat a ukládat kopie kartiček pojišťovny.

Revize dokumentace z důvodu účinnosti zákona č. 110/2019, o zpracování osobních údajů

Na základě účinnosti zákona č. 110/2019 Sb., o zpracování osobních údajů, musejí veřejnoprávní i soukromoprávní subjekty v postavení správce osobních údajů či zpracovatele osobních údajů provést revizi dokumentace upravující zpracování osobních údajů v organizaci / společnosti.

V prvé řadě je nezbytné provést formální revizi dokumentace týkající se osobních údajů, tj. změnu odkazů na relevantní předpisy, zejména tam, kde dokumenty odkazovaly na předchozí zákon č. 101/2000 Sb., o ochraně osobních údajů. Dále je třeba v rámci revizí dokumentace posoudit, zda na správce osobních údajů či zpracovatele osobních údajů dopadají i dílčí změny některých zákonů, k nimž došlo účinností zákona č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů. Revize dokumentace je potřeba také v případě, že se na organizaci / společnost vztahuje povinnost provádět DPIA (posouzení vlivu na ochranu osobních údajů).

V rámci zákona č. 110/2019 Sb. došlo k určitému posunu ve vnímání mlčenlivosti zaměstnanců a spolupracujících osob. Doporučujeme tedy zvážit doplnění pracovních smluv o jasné ustanovení, podle nějž by měli mít všichni zaměstnanci povinnost zachovávat mlčenlivost o osobních údajích a organizačních i technických opatřeních, jejichž zveřejnění by ohrozilo bezpečnost osobních údajů.

Dynamický biometrický podpis je nově posuzován jako zvláštní kategorie osobních údajů

Úřad pro ochranu osobních údajů změnil svůj přístup ke zpracování biometrického dynamického podpisu připojeného ke konkrétnímu dokumentu v rámci běžné smluvní agendy, kdy nedochází k verifikaci či porovnávání podpisu dle referenčního vzoru (nahrazení tradičního podepisování se na papír za podepisování se na speciální zařízení (tablet nebo signpad) pro snímání podpisu). ÚOOÚ nově považuje tento způsob zpracování za zpracování zvláštních kategorií osobních údajů, pro které bude vyžadován výslovný souhlas subjektu údajů.

Dynamický biometrický podpis je tzv. prostým elektronickým podpisem (podpisem bez přívlastku) dle definice čl. 3 bodu 10 nařízení eIDAS, který byl v České republice prostřednictvím § 7 zákona č. 297/2016 Sb. aprobován jako platný typ podpisu v rámci soukromoprávního jednání. Dle Nařízení GDPR je dynamický biometrický podpis osobní údaj, tj. informace o identifikované nebo identifikovatelné fyzické osobě. Informace, které jsou prostřednictvím dynamického biometrického podpisu snímány, totiž představují biometrickou stopu, která je unikátní pro každou fyzickou osobu, a nemohou být reprodukovány.

Pořizování a vyhodnocování kamerového záznamu společností

Kamerový záznam (obrazový, videozáznam) je osobním údajem za předpokladu, že lze ze snímku přímo či nepřímo identifikovat konkrétní fyzickou osobu. Společnost má pravomoc pořizovat záznam z kamerového systému ke sledování budov a objektů v jejím vlastnictví či nájmu proto, aby ochránila svůj majetek, kontrolovala své zaměstnance a klienty společnosti (v těchto případech se jedná o ochranu majetku společnosti, ne o ochranu obecné bezpečnosti a veřejného pořádku). Společnost ale nemá pravomoc provozovat kamerové systémy k jiným účelům, např. k odhalovací činnosti. Odhalovací činnost nemůže provádět společnost sama, neboť se jedná o dohled nad veřejným pořádkem či dodržování předpisů v rámci provozu na pozemních komunikacích (tuto pravomoc má Policie ČR nebo obecní policie).

Z pohledu ochrany osobních údajů není provozování bezzáznamového kamerového systému (pouze přenos bez záznamu) považováno za zpracování osobních údajů. Může se ale stále jednat o zásah do práva na soukromí, a to v režimu občanského zákoníku. Je tedy vždy nezbytné důkladně zvážit nasazení a provozování bezzáznamového kamerového systému.

Při provozování kamerového systému musí společnost zajistit informování subjektů údajů snímaných kamerami (informování o daném monitorování a využití kamerových záznamů). Informování by mělo být v souladu se zásadou transparentnosti dostatečně jasné a jednoduché.

Uchovávání kopií dokladů totožnosti zaměstnanců – cizinců

Zákon č. 435/2004 Sb., o zaměstnanosti definuje, že zaměstnavatel je povinen uchovávat kopie dokladů prokazujících oprávněnost pobytu cizince na území České republiky, a to ještě 3 roky po skončení zaměstnávání tohoto cizince. Tato povinnost se týká cizinců, kteří jsou občany zemí mimo evropskou oblast volného pohybu osob. Zaměstnavatelé tedy musí okopírovat a archivovat povolení k zaměstnání, zaměstnaneckou kartu, kartu vnitropodnikově převedeného zaměstnance nebo modrou kartu každého takového cizince, kterého zaměstnávají.

Zaměstnavatelé mají povinnost vést evidenci cizinců podle § 102 odst. 2 zákona o zaměstnanosti.

Přístup k informacím u bývalého zaměstnavatele po skončení pracovního poměru

Osobní údaje bývalého zaměstnance jsou i po skončení pracovního poměru zaměstnavatelem dále zpracovávány, např. v rámci evidence docházky. Bývalý zaměstnanec může pro získání informace od svého bývalého zaměstnavatele využít práva subjektu údajů na přístup k osobním údajům podle čl. 15 Nařízení GDPR. Součástí tohoto práva je i právo na poskytnutí kopie zpracovávaných osobních údajů, tedy kopie údajů, které jsou o zaměstnanci v evidenci docházky vedeny. Právo na poskytnutí kopie zpracovávaných osobních údajů však nezakládá právo nahlížet do spisů nebo evidencí, tedy např. do evidence docházky nebo osobního spisu (v případě současných zaměstnanců toto výslovně upravuje zákoník práce).

Účinnost zákona č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů

Společně se zákonem č. 110/2019 Sb., o zpracování osobních údajů nabyl účinnosti také zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.

Zákon č. 111/2019 Sb. za účelem přizpůsobení dosavadního právního řádu nové právní úpravě v oblasti zpracování osobních údajů novelizuje 39 zákonů:

  • Zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád)
  • Zákon č. 99/1963 Sb., občanský soudní řád
  • Zákon České národní rady č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení
  • Zákon České národní rady č. 358/1992 Sb., o notářích a jejich činnosti (notářský řád)
  • Zákon České národní rady č. 555/1992 Sb., o Vězeňské službě a justiční stráži České republiky
  • Zákon České národní rady č. 6/1993 Sb., o České národní bance
  • Zákon č. 96/1993 Sb., o stavebním spoření a státní podpoře stavebního spoření a o doplnění zákona České národní rady č. 586/1992 Sb., o daních z příjmů, ve znění zákona České národní rady č. 35/1993 Sb.
  • Zákon č. 182/1993 Sb., o Ústavním soudu
  • Zákon č. 283/1993 Sb., o státním zastupitelství
  • Zákon č. 269/1994 Sb., o Rejstříku trestů
  • Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců a poslanců Evropského parlamentu
  • Zákon č. 85/1996 Sb., o advokacii
  • Zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů
  • Zákon č. 49/1997 Sb., o civilním letectví a o změně a doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů
  • Zákon č. 106/1999 Sb., o svobodném přístupu k informacím
  • Zákon č. 257/2000 Sb., o Probační a mediační službě a o změně zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění pozdějších předpisů, zákona č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, a zákona č. 359/1999 Sb., o sociálně-právní ochraně dětí (zákon o Probační a mediační službě)
  • Zákon č. 6/2002 Sb., o soudech, soudcích, přísedících a státní správě soudů a o změně některých dalších zákonů (zákon o soudech a soudcích)
  • Zákon č. 150/2002 Sb., soudní řád správní
  • Zákon č. 256/2004 Sb., o podnikání na kapitálovém trhu
  • Zákon č. 499/2004 Sb., o archivnictví a spisové službě
  • Zákon č. 187/2006 Sb., o nemocenském pojištění
  • Zákon č. 129/2008 Sb., o výkonu zabezpečovací detence a o změně některých souvisejících zákonů
  • Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu
  • Zákon č. 273/2008 Sb., o Policii České republiky
  • Zákon č. 280/2009 Sb., daňový řád
  • Zákon č. 341/2011 Sb., o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů
  • Zákon č. 427/2011 Sb., o doplňkovém penzijním spoření
  • Zákon č. 456/2011 Sb., o Finanční správě České republiky
  • Zákon č. 17/2012 Sb., o Celní správě České republiky
  • Zákon č. 104/2013 Sb., o mezinárodní justiční spolupráci ve věcech trestních
  • Zákon č. 300/2013 Sb., o Vojenské policii a o změně některých zákonů (zákon o Vojenské policii)
  • Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
  • Zákon č. 234/2014 Sb., o státní službě
  • Zákon č. 374/2015 Sb., o ozdravných postupech a řešení krize na finančním trhu
  • Zákon č. 186/2016 Sb., o hazardních hrách
  • Zákon č. 300/2016 Sb., o centrální evidenci účtů
  • Zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách)
  • Zákon č. 133/2000 Sb., o evidenci obyvatel a o rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel)
  • Zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách)

Požadavek na ztotožnění žadatele o naplnění práv subjektů údajů

Na základě provedené kontroly Úřadem pro ochranu osobních údajů doporučujeme upravit Informační memorandum a návod na plnění práv subjektu údajů v oblasti prokázání totožnosti žadatele. Namísto stávajících požadavků na ztotožnění žadatele:

„Příjem žádostí je prováděn výhradně proti jednoznačné identifikaci subjektu údajů (ztotožnění), tedy podáním žádosti datovou schránkou subjektu údajů, podáním žádosti podepsané uznávaným elektronickým podpisem založeným na kvalifikovaném certifikátu subjektu údajů prostřednictvím elektronické podatelny města, podáním žádosti s úředně ověřeným podpisem subjektu údajů prostřednictvím podatelny města nebo ověřením totožnosti žadatele předložením občanského průkazu při osobním podání žádosti v podatelně města.“

doporučujeme uvést např. takovou formulaci:

„Dovolujeme si Vás upozornit, že jsme povinni řádně ověřit totožnost žadatele o naplnění práv subjektu údajů a toto ověření zdokumentovat. Existuje-li pochybnost o totožnosti subjektu údajů, který podává žádost o informace o zpracování osobních údajů, uplatňuje některé z práv subjektu údajů nebo dává správci podnět, můžeme jej požádat o poskytnutí dodatečných informací nezbytných k potvrzení jeho totožnosti.

Školení zaměstnanců v oblasti ochrany osobních údajů

V rámci zpracování osobních údajů je důležité provádět pravidelná školení zaměstnanců společnosti v oblasti ochrany osobních údajů. Obecně je doporučeno proškolit zaměstnance v oblasti ochrany osobních údajů v rámci vstupního školení pro nové zaměstnance – nastupující zaměstnanec standardně vždy projde základním vstupním školením, tj. BOZP, požární ochrana, IT školení atd., k těmto školením je tedy vhodné přidat i ochranu osobních údajů. Všichni zaměstnanci společnosti by měli být seznámeni se základy GDPR, měli by min. znát základní pojmy a umět identifikovat osobní údaje.

U současných zaměstnan­ců je doporučeno školení v oblasti ochrany osobních údajů provádět 1x ročně. V případě změny právní úpravy je vhodné uspořádat pro zaměstnance mimořádné školení v oblasti ochrany osobních údajů.

Všechna provedená školení doporučujeme zdokumentovat prezenční listinou.

Práva a povinnosti zaměstnavatelů při zpracování osobních údajů

Moderní technologie nabízí širokou škálu prostředků pro sledování činností zaměstnanců, např. kamerové systémy instalované v zájmu ochrany oprávněných zájmů zaměstnavatele, GPS v automobilech, nástroje pro filtrování webových stránek, aplikace či jiná zařízení určená ke sledování za účelem prevence úniku dat atd.

Zákon č. 262/2006 Sb., zákoník práce definuje vztahy mezi zaměstnavatelem a zaměstnancem, tj. definuje i závislou práci a povinnosti vyplývající z pracovního poměru. Z povahy pracovněprávního vztahu vyplývá, že je legitimní, aby zaměstnavatel kontroloval zaměstnance při užívání svěřeného majetku určeného k plnění pracovních úkolů. Zaměstnanec je povinen sdělovat, resp. umožnit sběr informací týkajících se jeho osoby, pokud se týkají vykonávané práce nebo je zaměstnavatel potřebuje ke splnění svých povinností stanovených obecně závaznými právními předpisy. Typicky se jedná o ohlašovací povinnosti zaměstnavatele (např. ČSSZ, zdravotním pojišťovnám atd.).

Zaměstnavatel ale musí vždy respektovat hranici mezi soukromím zaměstnanců a kontrolou pracovních povinností zaměstnanců. Obecně by zaměstnavatel neměl své zaměstnance monitorovat, pokud k tomu nemá závažný důvod, případně lze sledování provádět pouze namátkově. Závažné důvody musí spočívat ve zvláštní povaze činnosti zaměstnavatele. Není však možné obecně určit, kdy jsou tyto závažné důvody spočívající ve zvláštní povaze činnosti zaměstnavatele naplněny, resp. kterých všech činností se výjimka týká. Naplnění podmínek je třeba zkoumat v každém konkrétním případě a zároveň zajistit, aby opatření zaměstnavatele dopadající na soukromí zaměstnance bylo přiměřené jeho účelu.

Využívání online rezervačního systému z pohledu ochrany osobních údajů

Při využívání online rezervačního systému zadávají klienti do systému své jméno a telefonní číslo. Jsou-li tyto osobní údaje poskytovány v souvislosti se vznikem právního vztahu, např. v souvislosti s uzavřením smlouvy (tj. klient si rezervuje službu, ohledně které se uzavírá smlouva), je pro vznik a realizaci daného právní­ho vztahu nezbytná oboustranná výměna informací. V případě následné rezervace služby není tedy potřeba sou­hlasu subjektu se zpracováním osobních údajů a plně postačuje splnění informační po­vinnosti o zpracování osobních údajů na webových stránkách.

Postup provedení „práva být zapomenut“ v Google a sociálních sítích

Právo být zapomenut, tj. vymazat zmínky a údaje o své osobě, lze provést i v rámci internetu – v Google a sociálních sítích.

Google

Společnost Google umožňuje odstranění informací z vyhledávání na základě evropských předpisů o ochraně údajů. Žadatel o odstranění musí prokázat svoji identitu, označit webové stránky, které uvádí jméno dotčené osoby a popsat situaci, v níž dochází k porušení ochrany osobních údajů. Postup pro odstranění informací z vyhledávače Google je uveden na internetové adrese https://support.google.com/webmasters/answer/6332384?hl=cs&ref_topic=1724262. Formulář je uveden na adrese https://support.google.com/legal/contact/lr_eudpa?product=websearch.

Google Maps (Street View)

Podmínky ochrany soukromí při přidávání fotografií na Mapy Google jsou uvedeny na internetových stránkách https://www.google.com/intl/cs/streetview/policy/#privacy-and-blurring. V případě, že byl obsah map přidaný společností Google, lze nahlásit problém (např. požádat o odstranění / rozmazání fotografie s vaší tváří, vaším domovem nebo jinou identifikující informací zveřejněnou bez vašeho souhlasu) na adrese https://support.google.com/maps/answer/3093484?hl=cs.

Mapy.cz

Pravidla (licenční ujednání) ke vkládání fotografií na internetovou stránku Mapy.cz jsou uvedena na adrese https://napoveda.seznam.cz/cz/mapy/licencni-ujednani-ke-vkladani-fotografii-na-mapycz/. Porušení pravidel pro přidávání fotografií lze nahlásit na adrese https://napoveda.seznam.cz/cz/mapy-hlaseni-chyby/.

Facebook

Obecné nastavení soukromí a možnosti zveřejnění uživatelů Facebooku jsou upraveny prostřednictvím nástroje pro soukromí (https://www.facebook.com/help/325807937506242?helpref=popular_topics), v rámci kterého lze kontrolovat veřejnost přidávaných příspěvků, možnosti označení a ochrana osobních údajů. V případě, kdy se profil osoby vedený na Facebooku zobrazuje v internetových prohlížečích, je možné toto zobrazení skrýt pomocí nástroje nastavení veřejného vyhledávání https://www.facebook.com/help/124518907626945?helpref=faq_content.

Twitter

V jednotlivých příspěvcích na Twitter lze kontrolovat označování na fotografiích a příspěvcích, objevitelnost dle telefonního čísla či e-mailové adresy a zobrazování reklam – kontrolu lze provést v sekci zabezpečení a soukromí https://twitter.com/settings/security.

Adaptační zákon

Dne 24.4.2019 vešel v účinnost nový zákon č. 110/2019 Sb., o zpracování osobních údajů. Tímto Adaptačním zákonem se ruší zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, a nový zákon společně s Nařízením GDPR jej tak zcela nahrazují.

Nejzásadnější novinky se týkají stanovení výše pokut, jejichž nastavení má každá členská země EU ve své kompetenci. Pokud se fyzická, právnická nebo podnikající fyzická osoba dopustí přestupku tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným právním předpisem (např. trestním řádem či zákonem o soudnictví ve věcech mládeže), je možné za takový přestupek uložit pokutu do 1.000.000,- Kč, nebo 5.000.000,- Kč, jde-li o přestupek spáchaný tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem.

Orgánům veřejné moci a veřejným subjektům České republiky nebude správní trest (pokuta) uložen, ale v případě, že kontrolovaná osoba neprovedla nápravu na základě předchozího zjištění ÚOOÚ, může proti ní být zahájeno řízení o přestupku nesoucí možné sankce.

V případě, že půjde o porušení některých povinností týkající se ochrany osobních údajů právnickou osobou vyplývající z hlavy III zákona č. 110/2019 Sb. (zpracování osobních údajů za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti ČR nebo zajišťování veřejného pořádku a vnitřní bezpečnosti), může být uložena pokuta až do výše 10.000.000,- Kč. Orgány veřejné moci a veřejné subjekty České republiky již od této pokuty nejsou osvobozeny.

Důležité je připomenout, že výše pokut je uvedena jako maximální a v případě udělení finanční sankce nesmí být její výše pro daný subjekt likvidační.

Zákon dále například stanovuje hranici pro způsobilost dítěte k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti (např. zpracování osobních údajů provozovateli sociálních sítí) na 15 let.

Z důvodu této legislativní úpravy je nezbytné pouze upravit veškeré vzorové dokumenty týkající zpracování osobních údajů tak, aby vycházely již z nového zákona. Jedná se především o směrnici o nakládaní s osobními údaji a souhlasy pro zákonné zástupce, zaměstnance a další osoby. Souhlasy udělené podle zákona č. 101/2000 Sb. se považují za souhlas stále platný a není tedy nutné tyto souhlasy znovu udělovat.

Celé znění Adaptačního zákona naleznete zde.

Zpracování a archivace osobních údajů neúspěšných uchazečů o zaměstnání (v rámci výběrového řízení)

Zpracování osobních údajů uchazečů o zaměstnání v rámci výběrového řízení je nezbytné pro provedení opatření přijatých před případným uzavřením pracovní či jiné smlouvy, zpracování osobních údajů je tedy oprávněné (samozřejmě při zohlednění potřebnosti a relevance požadovaných osobních údajů). Pro fázi samotného výběrového řízení je proto souhlas nejen nadbytečným, ale dokonce nesprávným zákonným důvodem zpracování osobních údajů.

Pokud ale má zaměstnavatel zájem ponechat si po ukončení výběrového řízení shromážděné osobní údaje neúspěšných uchazečů o zaměstnání pro účely jejich budoucího oslovení s novou nabídkou, je souhlas vhodným právním důvodem dalšího zpracování. Pokud neúspěšný uchazeč o zaměstnání písemně vysloví svůj souhlas s dalším zpracováním svých osobních údajů pro účely budoucích výběrových řízení, který splňuje všechny zákonné náležitosti (viz. čl. 7 Nařízení GDPR), je zaměstnavatel oprávněn osobní údaje zpracovávat po dobu, v souhlasu stanovenou.

Zaměstnavatel vždy musí uchazeče o zaměstnání v dostatečné míře informovat o skutečnosti, že jejich osobní údaje zpracovává, proč tak činí a jakou dobu bude ve zpracování pokračovat – tedy jinými slovy splnit informační povinnost dle čl. 13, popř. čl. 14 Nařízení GDPR.

Doložení trestní bezúhonnosti (výpisu z Rejstříku trestů) u zaměstnanců z pohledu GDPR

Opodstatněnost doložení trestní bezúhonnosti – výpisu z Rejstříku trestů v průběhu trvání pracovněprávního vztahu, či před jeho uzavřením, je buď zákonem stanovená povinnost, nebo je dána povahou pracovní náplně zaměstnance společnosti.

Předložení výpisu z Rejstříku trestů zaměstnavateli omezuje přímo zákoník práce ve svém ustanovení § 316 odst. 4. Ačkoli toto ustanovení zmiňuje pouze zaměstnance, panuje shoda v tom, že v souladu s pravidlem a maiori ad minus se toto omezení zaměstnavatele vztahuje jednoznačně i na jeho požadavky vůči uchazečům o zaměstnání. Zaměstnavatel může v souladu s ustanovením § 316 odst. 4 zákoníku práce chtít po zaměstnancích pouze ty informace, které bezprostředně souvisejí s výkonem práce a se základním pracovněprávním vztahem. Výpis z Rejstříku trestů je jedna z informací, kterou zaměstnavatel po zaměstnancích požadovat nesmí. Ustanovení zákoníku práce ale obsahuje i výjimky, kdy informace o trestněprávní bezúhonnosti zaměstnavatel požadovat smí. Je tomu tak v případech, kdy je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a současně, je-li tento požadavek přiměřený anebo v případech, kdy to stanoví právní předpis. Existuje mnoho profesí, u kterých právní předpisy stanoví jako předpoklad trestní bezúhonnost.

Pokud tedy předpoklad trestněprávní bezúhonnosti není stanoven zákonem, je možné požadovat výpis z Rejstříku trestů jen v případě, když existuje vážný věcný důvod spočívající v povaze práce. Záleží tedy na typu pracovní pozice – zda u dané pracovní pozice existují či neexistují věcné důvody pro vyžádání výpisu z Rejstříku trestů, např. v případě mzdové účetní, jež manipuluje s hotovostí, má přístup do trezoru atd., by neměl požadavek na výpis z Rejstříku trestů představovat problém; u pracovní pozice typu údržbář, topič, uklízečka atd. ale věcný důvod k požadavku na doložení trestní bezúhonnosti neexistuje.

V případě doložení výpisu z Rejstříku trestu nemá zaměstnavatel povinnost výpis založit do osobního spisu zaměstnance – pro ověření trestní bezúhonnosti stačí, když si zaměstnavatel výpis nechá předložit a po ověření ho vrátí zaměstnanci, a do osobního spisu udělá zápis, kdy byla trestní bezúhonnost prokázána.

Uchovávání kopií dokladů totožnosti zaměstnanců

Kopie občanského průkazu – podle zákona č. 328/1999 Sb., o občanských průkazech (§ 15a Nakládání s občanským průkazem odst. 2), je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana. Provádění kopií občanských průkazů je tedy možné jen na základě souhlasu zaměstnance.

Dle našich zkušeností z praxe ochrany osobních údajů doporučujeme nepořizovat kopie osobních dokladů, a to ani na základě uděleného souhlasu (souhlas bude vždy zpochybnitelný (podřízené postavení žadatele) a odvolatelný). Zaměstnavatel si např. může při nástupu nového zaměstnance ověřit jeho totožnost z originálu občanského průkazu a učinit o tomto ověření poznámku v osobní složce zaměstnance. Kopie občanského průkazu by se však v osobní složce objevit neměla.

Kopie řidičského průkazu – kopírování řidičského průkazu zákony výslovně nezakazují. Je ale třeba v souladu s GDPR stanovit, na základě jakého zákonného titulu a pro jaký účel je případná kopie pořizována. Pořizování kopie řidičského průkazu se ve vybraných případech může opřít o tzv. oprávněný zájem zaměstnavatele. Zaměstnavatel však musí být schopen jednoznačně vysvětlit, v čem tento svůj oprávněný zájem spatřuje, tedy za jakým konkrétním účelem kopii dokladu potřebuje.

Kopie průkazu zdravotní pojišťovny – kopírování průkazu zdravotní pojišťovny zákony výslovně nezakazují. Je ale třeba v souladu s GDPR stanovit, na základě jakého zákonného titulu a pro jaký účel je případná kopie pořizována. Pořizování kopie průkazu zdravotní pojišťovny se ve vybraných případech může opřít o tzv. oprávněný zájem. Zaměstnavatel však musí být schopen jednoznačně vysvětlit, v čem tento svůj oprávněný zájem spatřuje, tedy za jakým konkrétním účelem kopii dokladu potřebuje.

Uchovávání kopií dokladů totožnosti cizinců – zákon č. 435/2004 Sb., o zaměstnanosti definuje, že zaměstnavatel je naopak povinen uchovávat kopie dokladů prokazujících oprávněnost pobytu cizince na území České republiky, a to ještě 3 roky po skončení zaměstnávání tohoto cizince. Tato povinnost se týká cizinců, kteří jsou občany zemí mimo evropskou oblast volného pohybu osob. Zaměstnavatelé tedy musí okopírovat a archivovat povolení k zaměstnání, zaměstnaneckou kartu, kartu vnitropodnikově převedeného zaměstnance nebo modrou kartu každého takového cizince, kterého zaměstnávají.

Potřebnost uzavření smlouvy o zpracování osob­ních údajů s lékařem poskytujícím pracovnělé­kařské prohlídky

V případě lékařů zajišťujících pracovnělékařské prohlídky není třeba uzavírat smlouvu o zpracování osobních údajů. Povinnost uzavírat zpracovatelskou smlouvu je třeba pouze se zpracovateli osobních údajů. Přestože postavení lékaře v tomto vztahu vykazuje jisté znaky zpracovatele, ÚOOÚ a pracovní skupina WP 29 vydala stanovisko, podle kterého je v tomto vztahu lékař považován za správce, nikoli za zpracovatele, a tato povinnost se tak neuplatní.

Přístup ke knize úrazů

Pro případ pracovního úrazu by na každém pracovišti měla být k dispozici kniha úrazů. V knize úrazů se uvádí jméno a příjmení zaměstnance, datum úrazu a popis úrazu. Kniha úrazů tedy obsahuje osobní údaje a s ohledem na Nařízení GDPR není vhodné, aby byla na pracovišti volně přístupná všem zaměstnancům.

Knihu úrazů má mít u sebe příslušně odborně způsobilý pracovník (např. bezpečnostní pracovník, vedoucí pracovník atd.), který ji bude uchovávat uzamčenou a pracovat s ní výhradně sám.

Zaměstnavatel má po dobu 30 let povin­nost archivovat dokumenty týkající se pracovních úrazů (stejně jako nemocí z povolání). Účelem je zachovat dokumenty obsahující údaje podstat­né pro výpočet výše starobního důchodu. Konkrétně mezi tyto dokumenty patří potvrzení o době, důvodu a výši náhrad za ztrátu na výdělku po skončení pracovní neschopnosti náležející za pracovní úraz nebo nemoc z povolání.

Cookies a cookies lišta na webových stránkách

Informace o cookies jsou osobní údaje, proto provozovatel webu by měl mít pro práci s cookies právně obhajitelný důvod – buď oprávněný zájem (cookies nezbytné pro samotné fungování webu) nebo souhlas, pokud nelze prokázat oprávněný zájem.

ÚOOÚ vydal v souvislosti s GDPR doporučení k zpracování cookies a obdobných prostředků sledování. Podle tohoto doporučení již nejsou cookies lišty na webech potřeba a o sběru cookies stačí někde na stránkách přehledně informovat. Pro cookies nezbytně nutné pro zajištění provozu webových stránek a internetových služeb není nutno získat souhlas uživatele. Pro všechny ostatní cookies je nutno získat souhlas, který však lze získat nastavením běžných prohlížečů. Popisu zpracování osobních údajů, včetně cookies, je podle ÚOOÚ vhodné věnovat speciální a snadno dostupnou informační podstránku, nejlépe označenou jako „cookies“. Toto je ale pouze doporučení ÚOOÚ, není to zavazující stanovisko.

Dle doporučení ÚOOÚ není tedy cookies lišta na webových stránkách již povinná, ale cookies lištu vyžaduje např. Google (pokud při využívání služeb Google nebude mít provozovatel webu souhlas k cookies, porušuje tím smluvní pravidla Google).

Cookies má v budoucnu upravovat nový předpis z dílny EU – nařízení ePrivacy (Nařízení EU o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích).

Osobní údaje vyžadované potenciálním zaměstnavatelem v rámci výběrového řízení na zaměstnance

Zaměstnavatel (společnost) smí dle ustanovení § 30 odst. 2 zákona č. 262/2006 Sb., zákoník práce, vyžadovat v souvislosti s jednáním před vznikem pracovního poměru od fyzické osoby, která se u něj uchází o práci, jen údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy.

Údaje relevantní pro potenciálního zaměstnavatele jsou informace vztahující se ke kvalifikaci, pracovní praxi, dovednostem a znalostem uchazeče o zaměstnání. Obdobné ustanovení obsahuje i § 12 odst. 2 zákona č. 435/2004 Sb., o zaměstnanosti, který stanovuje, že zaměstnavatel nesmí při výběru zaměstnanců vyžadovat informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace, není-li jejich vyžadování v souladu se zvláštním právním předpisem, dále informace, které odporují dobrým mravům, a osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem. Na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje.

Stěžejní pravidla výběrového řízení na zaměstnance z pohledu ochrany osobních údajů:

  • Zveřejněná informace o možnosti zasílat motivační dopisy a životopisy na danou pracovní pozici musí obsahovat konkrétní kontakt pro zaslání těchto dokumentů (nemělo by se tedy jednat o obecnou adresu přístupnou několika zaměstnancům společnosti) a dále musí obsahovat poučení o tom, jak budou chráněny osobní údaje uchazeče / potenciálního zaměstnance, které zaměstnavatel ve výběrovém řízení získá.
  • Zaměstnavatel nesmí vyžadovat od uchazeče / potenciálního zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem.
  • Na základě písemné žádosti neúspěšného uchazeče si zaměstnavatel může pro své účely archivovat dokumenty tohoto uchazeče (motivační dopis, životopis), a to po stanovenou dobu nebo do odvolání uchazečem.

Nakládání s osobními údaji při zajištění BOZP a PO

Při zajišťování bezpečnosti a ochrany zdraví při práci a požární ochrany zaměstnavatel (společnost) zpracovává osobní údaje zaměstnanců. Zaměstnavatel je povinen zabezpečit osobní údaje zaměstnanců bez ohledu na to, zda si plnění povinností BOZP a PO zajišťuje sám (svým zaměstnancem), nebo prostřednictvím externí společnosti.

Ve většině případů je zpracování osobních údajů při zajištění BOZP a PO nezbytné pro plnění právní povinnosti (tj. existuje právní důvod zpracování osobních údajů). V případech, když zpracování osobních údajů není podloženo právním důvodem (např. zveřejnění fotografie znázorňující porušení požadavku k zajištění BOZP, na které je možné zřetelně identifikovat konkrétní fyzickou osobu), je nezbytné si ke zpracování osobních údajů od subjektu údajů vyžádat souhlas splňující požadavky GDPR.

V rámci pracovních úrazů se GDPR vztahuje pouze na osobní údaje o živých fyzických osobách, při šetření smrtelného pracovního úrazu se GDPR neuplatňuje.

Porušením GDPR není zveřejnění jmen a příjmení členů preventivní požární hlídky vyvěšením požárního řádu na pracovišti, a to i na veřejně přístupném místě, neboť se jedná o požadavek právního předpisu (viz § 31 odst. 4 vyhlášky Ministerstva vnitra č. 246/2001 Sb., o požární prevenci). Porušením GDPR ale je např. vyvěšení pouhého seznamu členů hlídky s uvedením pracoviště jejich působnosti bez jejich uděleného souhlasu.

Dobu uchovávání dokumentů vztahujících se k BOZP a PO řeší Spisový a skartační řád společnosti, v některých případech je doba uchování upravena přímo právním předpisem, např.:

  • § 40 zákona č. 258/2000 Sb. (evidence rizikové práce) – 10 let, resp. 40 let podle druhu práce;
  • § 44a odst. 6 zákona č. 258/2000 Sb. (školení o nakládání s toxickými látkami) – 3 roky;
  • § 31 odst. 2 zákona č. 563/1991 Sb. (účetní doklady, např. doklad o doplatcích za léky, pokud je možné přímo nebo nepřímo identifikovat fyzickou osobu, doklad je součástí spisu zaměstnance o náhradě škody a nemajetkové újmy) – 5 let;
  • § 35a odst. 4 zákona č. 582/1991 Sb. (záznamy potřebné pro účely důchodového pojištění, mimo jiné záznamy o pracovním úrazu a nemoci z povolání) – 30 let.

Frekvence školení zaměstnanců v oblasti ochrany osobních údajů

Obecně je doporučeno proškolit zaměstnance v oblasti ochrany osobních údajů v rámci vstupního školení pro nové zaměstnance – nastupující zaměstnanec standardně vždy projde základním vstupním školením, tj. BOZP, požární ochrana, IT školení atd., k těmto školením lze tedy přidat i ochranu osobních údajů.

U současných zaměstnan­ců je doporučeno školení v oblasti ochrany osobních údajů provádět 1x ročně. V případě změny právní úpravy je vhodné uspořádat pro zaměstnance mimořádné školení v oblasti ochrany osobních údajů.

Uvedení rodného čísla účastníka smluvního vztahu ve smlouvě

Používání rodného čísla definuje zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů. Podle § 13 odst. 9 tohoto zákona je rodné číslo oprávněna užívat nebo rozhodovat o jeho využívání v mezích stanovených zákonem výlučně fyzická osoba, které bylo rodné číslo přiděleno (nebo její zákonný zástupce); jinak lze rodné číslo využívat jen v případech stanovených v § 13c tohoto zákona.

Pro smlouvy uzavírané podle zákona č. 89/2012 Sb., občanský zákoník, (např. pro kupní smlouvu), občanský zákoník použití rodného čísla pro identifikaci účastníka smluvního vztahu nevyžaduje. Na základě § 3019 občanského zákoníku by měla být identifikace v těchto případech provedena zejména souborem údajů: jméno, příjmení, bydliště a datum narození, popřípadě identifikujícím údajem podle jiného právního předpisu, což je nejen podle občanského zákoníku množina údajů postačují ke zjištění identity člověka.

V jiných případech, jestliže zákon uvedení rodného čísla ve smlouvě nevyžaduje, avšak pokud je záměrem správce osobních údajů využít smlouvy uzavírané se zaměstnanci nebo zákazníky i jako prostředek shromažďování rodných čísel pro následné využívání rodných čísel pro účel stanovený zákonem správci, je možné ve smlouvě uvést rodné číslo. V případě, že nositel rodného čísla s uvedením rodného čísla v takové smlouvě nesouhlasí, je povinen sdělit rodné číslo pro zákonem stanovené využívání rodných čísel jiným způsobem. To platí pro pracovní smlouvu uzavíranou podle § 33 až 39 zákona č. 262/2006 Sb., zákoník práce, pokud by měla sloužit jako prostředek shromažďování rodných čísel pro jejich následné zákonem stanovené využívání zaměstnavatelem na základě § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění, § 25 zákona č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, a § 46 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení.

Kopie dokladů totožnosti

Podle zákona č. 328/1999 Sb., o občanských průkazech (§ 15a Nakládání s občanským průkazem odst. 2), je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana. Provádění kopií občanských průkazů je tedy považováno za závažné porušení ochrany osobních údajů a musí být podloženo výslovným dobrovolným souhlasem subjektu údajů (souhlas musí být v rozsahu dle Nařízení GDPR). Dle našich zkušeností z praxe ochrany osobních údajů doporučujeme nepořizovat kopie osobních dokladů, a to ani na základě uděleného souhlasu (souhlas bude vždy zpochybnitelný (podřízené postavení žadatele) a odvolatelný).

V případě nezbytného pořízení a uchování kopie dokladu totožnosti subjektu údajů, doporučujeme vždy na kopii osobního dokladu ponechat pouze osobní údaje relevantní pro dané účely zpracování (doporučujeme doklad totožnosti vložit do „obálky“ obsahující okénka pouze pro relevantní osobní údaje a vytvořit kopii jen požadovaných osobních údajů).

Osobní údaje uvedené na dotačních programech

Čerpá-li zaměstnavatel dotaci z dotačního programu, pak se nejedná o zpracování osobních údajů na základě souhlasu, nýbrž na základě práv­ního předpisu. Zaměstnavatel by měl zaměstnance informovat, že se jeho údaje zpracovávají v rámci dotačního programu či že se předávají dotačnímu orgánu nebo např. krajské pobočce Úřadu práce. Jedná se však o informaci, nikoliv o souhlas.

Personální agenda – archivace a skartace spisů zaměstnanců

Vedení a archivace personální agendy musí korespondovat se schváleným Spisovým a skartačním plánem původce (společnosti). Pokud jsou položky z oblasti personalistiky ve Spisovém a skartačním plánu společnosti uvedeny pod samostatnými spisovými znaky, musí je zaměstnanci společnosti i takto ukládat a nelze je vkládat do spisu, který má spisový znak a skartační režim jiný než zbytek dokumentů.

Osobní spis zaměstnance společnosti má být koncipován jako typový spis s více součástmi – je chápán jako složka zaměstnance bez skartačního režimu, do které budou vkládány k němu se vážící dokumenty se svými skartačními režimy. Tyto dokumenty se budou průběžně ze složky zaměstnance skartovat poté, co jim uplynou přidělené skartační lhůty. Vyskartováním posledního dokumentu osobní spis zaměstnance zanikne.

Mzdová agenda – zpracování, archivace a skartace mzdových a účetních dokladů

Mzdovou agendu, tj. doklady, které byly zaměstnavatelem (společností) vytvořeny či získány při zpracování mezd zaměstnanců a týkající se sociálního a zdravotního pojištění zaměstnanců, odvádění daní atd., je nutné uchovávat po dobu určenou zákonem:

  • obecnou archivační dobu stanovuje zákon č. 563/1991 Sb., o účetnictví, v délce 10 let pro účetní závěrky a výroční zprávy a v délce 5 let pro ostatní účetní doklady a účetní záznamy (počítá se vždy od konce daného účetního období);
  • speciální lhůty pro archivaci mzdových listů a dalších údajů potřebných pro důchodové pojištění (30 let a 10 let) stanovuje zákon č. 155/1995 Sb., o důchodovém pojištění;
  • zvláštní lhůty pro archivaci evidence pro účely nemocenského pojištění (10 let) stanovuje zákon č. 187/2006 Sb., o nemocenském pojištění.

Z výše uvedeného tedy vyplývají jednotlivé lhůty pro archivaci složek mzdové agendy:

  • mzdové listy a další údaje potřebné pro důchodové pojištění min. 30 let (jde-li o mzdové listy poživatele starobního důchodu, činí lhůta pouze 10 let);
  • záznamy o vzniku a zániku pracovněprávního vztahu, evidenci pracovní doby min. 10 let;
  • doklady o mzdách a dávkách nemocenského pojištění min. 10 let;
  • stejnopisy evidenčních listů min. 3 roky.

Za nedodržení archivačních lhůt a provedení skartace může být zaměstnavatel sankcionován, proto je třeba věnovat nastavení archivačního systému řádnou pozornost.

Zveřejňování informací o přítomnosti zaměstnanců společnosti na pracovišti

Některé společnosti v návaznosti na transparentnost činností a dostupnost služeb poskytovaných zákazníkům zveřejňují na webových stránkách společnosti (prostřednictvím docházkového systému společnosti) informace o přítomnosti či nepřítomnosti jednotlivých zaměstnanců společnosti na pracovišti. Takové zveřejnění osobních údajů představuje nedůvodný zásah do práv subjektů údajů (zaměstnanců společnosti) na ochranu jejich osobního a soukromého života a není proto v souladu se základními zásadami vyjádřenými v čl. 5 Nařízení GDPR.

Zveřejnění informace o přítomnosti zaměstnance společnosti na pracovišti navíc nevede k vyšší informovanosti zákazníka. Zákazník z uvedené informace pouze zjistí, že konkrétní zaměstnanec společnosti je v danou chvíli přítomen v zaměstnání. Zveřejněná informace ovšem nezaručuje přítomnost zaměstnance společnosti na jeho pracovišti po celou pracovní dobu.

Evidence kontaktních údajů

Součástí některých formulářů společnosti mohou být navíc i doplňující údaje, mezi které patří kontaktní údaje osob (subjektu údajů), např. telefon, e-mailová adresa, datová schránka atd.

V případě, že neexistuje žádný právní základ zpracování těchto osobních údajů, který by explicitně vyžadoval sběr doplňujících kontaktních osobních údajů, je jejich vyplnění ve formuláři nepovinné a dobrovolné. Subjekt údajů zároveň svým podpisem zodpovídá za jejich správnost. V případě existence takových formulářů (pokud se jedná o editovatelný formulář) doporučujeme ve formuláři uvést informaci o dobrovolnosti poskytnutí těchto osobních údajů jakožto nepovinných položek formuláře.

V případě Vašeho zájmu jsme připraveni provést kontrolu Vašich formulářů a pomoci Vám s formulací vhodné informace o dobrovolnosti poskytnutí osobních údajů.

Zabezpečení osobních údajů

Je potřeba věnovat pozornost pracovnímu prostředí zaměstnanců ve vztahu k dokumentům, kterém mají ve své správě. Nemělo by docházet k situaci, kdy zaměstnanci, které v rámci výkonu činnosti navštěvuje veřejnost, mají na stole či jinde volně přístupné dokumenty. Jedná se o riziko úniku neveřejných informací (minimálně v rozsahu jméno, příjmení a samotná informace o existenci tohoto řízení ve vztahu k identifikovatelné fyzické osobě).

Anonymizace smluv v registru smluv

V případě zveřejnění smluv v registru smluv je potřeba provést anonymizaci osobních údajů. Ministerstvo vnitra ČR vydalo Metodický návod k aplikaci zákona o registru smluv – metodickou pomůcku k anonymizaci zveřejňovaných dokumentů – především smluv v registru smluv, na profilu zadavatele nebo na webových stránkách, ale jako metodický návod může posloužit i pro obecná pravidla anonymizace ostatních typů dokumentů. Jedná se o aktualizovanou Metodiku MV ČR, která se zaměřuje na aplikaci zákona o registru smluv, ale na stranách 53-54 je formou tabulky velmi přehledně popsáno, které položky je a není nutné před zveřejněním anonymizovat. Zároveň nám dovolte Vám připomenout, abyste při anonymizaci nezapomínali ani na přílohy smlouvy nebo např. notářské doložky.

Metodický návod k aplikaci zákona o registru smluv, který vydalo MV ČR, naleznete zde.

Kamerový systém společnosti na veřejných prostranstvích

Je potřeba zajistit, že kamerové systémy nepořizují záběry ze soukromých prostor, např. kamery míří do oken domů.

 

Kompletní informace z oblasti ochrany osobních údajů naleznete zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).