GDPR - strana 1

Obce zveřejňují na úřední desce dokumenty ve velkém rozsahu. Prakticky každý z těchto dokumentů obsahuje informace, které jsou osobními údaji ve smyslu čl. 4 odst. 1 Obecného nařízení (GDPR )1). Jedná se proto o zpracování osobních údajů, za něž odpovídá obec, která takové zveřejnění provede. Je-li správcem osobních údajů, musí plnit všechny povinnosti, které jí vyplývají z Obecného nařízení (GDPR ). Aby obec mohla posoudit, na jakém základě (jaký zákonný důvod) jsou dokumenty, a tedy i osobní údaje zveřejňovány, musí především rozlišit, zda se jedná o povinné zveřejňování nebo zveřejňování dobrovolné v rámci snahy o co největší transparentnost. A také zda se jedná o zveřejnění vlastních, nebo cizích dokumentů.

Moderní technologie v současné době umožňují pořizovat zvukovou i obrazovou nahrávku nejen velmi jednoduše, ale také skrytě. Díky tomu se rozšířil zvyk nahrávat nejen telefonické hovory, ale především jednání s úředními osobami, kdy se často účastníci řízení cítí být slabší stranou a buď pro jistotu, nebo již přímo pro ochranu vlastních práv pořizují skryté nahrávky. Je vůbec možné takové nahrávky pořizovat? A pokud ano, za jakých okolností? Odpověď není zcela jednoduchá. Rozhodování soudů není příliš konzistentní a také stanoviska Ministerstva vnitra jsou velmi opatrná, oscilují mezi „ano“ a „ne“, aniž by daly jednoznačnou odpověď.

K provádění veřejných průzkumů různého druhu dochází i ze strany obcí. Základním pravidlem by mělo být, že co nejdříve dochází k anonymizaci osobních údajů a v rámci vyhodnocování průzkumu se již nepracuje s konkrétními osobními údaji, jejichž pomocí by bylo možné idenfitikovat konkrétní osoby. Přesto se nelze vyhnout tomu, že v některých fázích se s osobními údaji, jak je chápe nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), pracuje. Proto i v rámci toho zpracování musí být dodržena všechna pravidla, která vyplývají ze zmíněného právního předpisu.

V průběhu roku 2022 docházelo a stále dochází k velkému množství kybernetických útoků, před kterými Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) vydává varování. Jak NÚKIB uvádí, jenom během roku 2022 je evidováno několik incidentů směřovaných vůči obecním a krajským úřadům, potažmo subjektům, které pod ně spadají. Samosprávy jsou lákavý cíl kvůli možnosti finančního zisku a v důsledku toho je jedním z nejčastějších druhů útoku ransomware. Ten zablokuje systémy, čímž se základní služby poskytované městy a kraji stávají nedostupnými. Ze zkušeností jsou ohrožena jak velká města či samosprávy vyšších územních celků, kde lze očekávat možnost vyššího finančního zisku, tak i malé obce, u nichž naopak útočník neočekává silné zabezpečení.

Dne 11. 3. 2019 vydal Městský soud v Praze rozsudek čj. 14 A 89/2017-47 , v němž konstatoval, že ochrana soukromí dětí (ve formě znepřístupnění jména útočníků i jména oběti šikany) převáží nad právem zastupitelů obce být informován o záležitostech šikany ve škole zřízené danou obcí.

Dne 13. 5. 2021 zveřejnil Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) souhrnný materiál k prokazování totožnosti a zpracování osobních údajů. Na dvanácti stranách je možné nalézt odpovědi např. na otázky komu, kdy a jakým způsobem musí člověk prokazovat svou totožnost, jaké osobní údaje přitom mohou být zaznamenány, kdo je oprávněn pořídit kopii průkazu totožnosti… ÚOOÚ již v minulosti publikoval několik stanovisek, kde se vyjadřoval k nakládání s průkazy totožnosti a s možností pořizování fotokopií. Právní předpisy, které upravují tuto oblast, se zásadně nezměnily, pravidla jsou však neustále porušována, a to zejména soukromým sektorem. Pochybení však vznikají i při činnosti obcí.

V rámci činnosti obce se objevují situace a problémy, které se obec snaží vyřešit pomocí kamerového systému se záznamem. Instalace kamerového systému není vyloučená, je však třeba rozlišit, na jakých místech, pro jaké účely a jaký typ kamerového systému lze použít a za jakých okolností musí být proveden tzv. balanční test (test proporcionality). Důležité pro zákonnost provozovaného systému je i správné provedení testu, který musí obsahovat všechny podstatné náležitosti, jak vyplývají z Obecného nařízení (GDPR ) a z pokynů Sboru.

Cloud computing je velmi často využívaná služba, která uživateli umožňuje využívat servery s větším výpočetním výkonem a úložný prostor na internetu. V rámci cloud computingu dochází k poskytování sdílených IT prostředí formou služby dostupné obvykle pomocí zabezpečeného přístupu přes internet apod. Bez této služby se dnes obejde jen málokdo; úřady, města či obce mezi takové uživatele obvykle nepatří. Zvažuje-li úřad, město či obec využívání služeb cloud computingu, je nutné pečlivě zvážit všechny parametry smlouvy, včetně bezpečnostních požadavků.

V rámci interních opatření a postupů, které musí obchodní společnosti přijímat v návaznosti na vyhlášený nouzový stav a krizová opatření vlády proti současné epidemii COVID-19, nelze zapomínat ani na ty jejich významné souvislosti, které jsou spojeny se zpracováním a ochranou osobních údajů.

Publikujeme nejnovější příspěvky zaměřené především na neziskový sektor.

V nových článcích informujeme o zásadě omezení uložení osobních údajů dle GDPR, v oblasti DPH se zabýváme poukazy a také opravou daně u pohledávek za dlužníky v insolvenci. Věnujeme se i daňovým přiznáním – konkrétně možnosti uplatnění paušálu na dopravu a povinnosti podat přiznání u zaměstnance.

Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR “), standardizuje od 25. 5. 2018 ochranu osobních dat občanů. Jak můžeme v některých aspektech nahlížet na dopady této nadnárodní právní úpravy do podmínek platných ve zdravotním pojištění?

V minulých číslech jsme čtenáře informovali v obecné rovině o nové úpravě nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), tzv. GDPR. Dnes bychom chtěli čtenářům poskytnout k nahlédnutí možnou podobu zásad zpracování osobních údajů pro provozovatele e-shopů, které by správci údajů měli vyhotovit a seznámit s nimi své zákazníky, a to z důvodu, že dnes na internetu prostřednictvím e-shopů obchoduje i řada menších podnikatelů, kteří by na povinnosti nařízením uložené neměli zapomínat.

GDPR aneb Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation) je v současné době jeden z nejkomentovanějších legislativních počinů z pera Evropské unie. Nezřídka se stává, že je GDPR představováno jako velký strašák na všechny, kdo jakýmkoliv způsobem disponují s osobními údaji fyzických osob. Mediálně je hojně prezentováno, co se nově nesmí, a jako odstrašující příklad jsou uváděny astronomické pokuty, které budou moci dozorové orgány za sebemenší porušení nařízení uložit. Realita tak závažná nebude, naopak, je třeba mít na paměti, že ochrana osobních údajů není nic nového pod sluncem a lze s určitou licencí tvrdit, že ten, kdo chránil data, která o lidech má, správně a solidně na základě platných právních předpisů, nebude muset přistoupit k žádným převratným změnám. Pojďme si v několika otázkách a odpovědích přiblížit, na koho citované nařízení dopadá, do kdy je třeba se připravit a čeho se vůbec máme bát. Jedná se o základní přehled toho, co nové nařízení přináší.

V minulém čísle jsme čtenáře informovali v obecné rovině o nové úpravě nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), tzv. GDPR. Dnes bychom chtěli čtenáře blíže informovat o některých povinnostech správců a zpracovatelů osobních údajů, které pokládáme za vhodné a který dotčeným subjektům dovolí promyslet, zda a v jakém rozsahu bude třeba zpracování jimi prováděné podrobit novým, resp. staro-novým pravidlům. Účelem tohoto příspěvku je, jinými slovy, napomoci při základní orientaci v nařízení.

Dne 25. května roku 2018 vstoupí v účinnost „Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)“, v právních kruzích nazývané také jako „GDPR“ (dále v textu jen „nařízení“ či „GDPR“). GDPR nahradí dosud účinný zákon č. 101/2000 Sb. , o ochraně osobních údajů. Byť nařízení není v oblasti zpracování a ochrany osobních údajů revolučním nástrojem, jenž by si kladl za cíl radikálně změnit fungující principy a metody ochrany, nýbrž se jedná o úpravu do značné míry kontinuitní, obsahuje nařízení i mnohé novinky, resp. zakotvuje nová práva a nové povinnosti dotčených subjektů.

Cookies jsou předmětem dlouholetého sporu, jehož jádrem je otázka, zda jsou cookies osobním údajem, zda je jejich česká právní úprava kompatibilní s evropským právem, a jak tedy s těmito informacemi nakládat. Odpovědi na tyto otázky vám přináší následující příspěvek.

Čas neúprosně běží a již v řádu týdnů bude Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR ) účinné. Tato série článků se již od loňského roku zabývala praktickou stránkou přípravy na účinnost GDPR a nejdůležitějšími změnami, které GDPR přináší. Veřejným tajemstvím přitom je skutečnost, že velká většina povinností vyplývajících z GDPR vyplývala již ze zákona o ochraně osobních údajů (zákon č. 101/2000 Sb. ), v některých případech i v přísnější podobě. V předchozích článcích bylo pojednáváno o přípravě projektu zajištění souladu vašeho podnikání s touto novou právní úpravou, dále byla podrobněji rozpracována analytická část projektu a rovněž byly zmíněny specifické instituty, které musí být při přípravě a realizaci projektu zohledněny. V tomto závěrečném dílu vám představíme praktický přehled a shrnutí těch nejzásadnějších kroků, které je před účinností GDPR nutné realizovat, a také zrekapitulujeme rámcový plán celého projektu.

Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR ) je strašák, který obchází české podnikatelské prostředí již od jara 2016, kdy vstoupilo jeho definitivní znění v platnost. Od té doby běží dvouletá přechodná doba končící v květnu roku 2018, během které mají všichni podnikatelé čas na to, aby se na plnění nových povinností řádně připravili. Momentálně zbývá do konce této doby zhruba půl roku a přípravy by již měly probíhat v plném proudu. Přesto jsou však jistě tací, kteří s přípravami otáleli a nyní neví, jak s nimi začít, nebo si nejsou jistí, na co se při přípravách zaměřit. Proto jsme pro vás připravili tuto sérii článků, která vám pomůže rychle se v problematice zorientovat, vhodně naplánovat projekt a pochopit nejdůležitější změny, které GDPR přináší.

Článek 17 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Nařízení“, říká, že subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů: