To nejzajímavější z výroční zprávy Úřadu pro ochranu osobních údajů (UOOÚ) a nové pokyny Evropského sboru
Úřad pro ochranu osobních údajů (ÚOOÚ, Úřad) vydal výroční zprávu o své činnosti za rok 2021. Ta představuje nejdůležitější výsledky dozorové činnosti ÚOOÚ v oblasti zpracování osobních údajů, které jsou prezentovány na příkladech vybraných kontrol. Níže shrnujeme některé z nich.
Věrnostní programy obchodníků
ÚOOÚ provedl kontrolu věrnostních programů maloobchodních řetězců. Při kontrole neshledal žádná závažná provinění. Byl kontrolován rozsah shromažďovaných údajů (nejčastěji titul, jméno, příjmení, datum narození, adresa, platební údaje, e-mailová adresa, tel. číslo, číslo zákaznické karty), doba uchovávání osobních údajů a jejich zabezpečení. Další informace, které obchody uchovávaly, se týkaly nakoupeného zboží, domovské prodejny, využití promoakcí, množství bodů v rámci věrnostního programu a další údaje, které však Úřad shledal přiměřenými vzhledem k účelu jejich zpracování. Pochybení, která ale kontrolovaným prodejcům vytkl, se týkala příliš dlouhého a neopodstatněného uchovávání osobních údajů – např. uchovávání údajů o nákupu potravinářského zboží po dobu 3 let shledal ÚOOÚ jako nepřiměřené. Úřad proto doporučil zkrátit tuto dobu v souladu s účelem uchovávání těchto údajů (např. dle doby, kdy je možné u zboží uplatnit reklamaci).
Telemarketing a osobní údaje
Další z oblastí provedených kontrol se týkala telemarketingu, kde přibližně čtvrtinu podnětů přijatých Úřadem tvořily stížnosti ohledně zpracování osobních údajů pro marketingové účely. Jedna z kontrolovaných telemarketingových společností nereagovala na uplatnění práva subjektů údajů na přístup k osobním údajům dle čl. 15 obecného nařízení („GDPR“), případně uváděla jako zdroj osobních údajů pouze náhodné generování telefonního čísla. Na vznesení námitky proti zpracování osobních údajů dle čl. 21 GDPR, event. po uplatnění práva na výmaz dle čl. 17 GDPR, společnost buď vůbec nereagovala, anebo přislíbila ukončení zpracování osobních údajů pro účel marketingu, avšak i po uplynutí měsíční lhůty pro přijetí opatření (dle čl. 12 odst. 3 GDPR) byly subjekty údajů znovu v rámci telemarketingu kontaktovány.
V rámci kontroly telemarketingové společnosti dospěl Úřad ke zjištění, že vystupovala jako zpracovatel osobních údajů, nikoliv jako správce, když svou činnost prováděla dle pokynů správců, pro které zajišťovala službu telemarketingu. Dále bylo zjištěno, že společnost porušila povinnost stanovenou v čl. 15-21 GDPR, když neposkytla subjektům údajů relevantní informace týkající se zpracování jejich osobních údajů. Konkrétně toto porušení spočívalo v tom, že při poskytování informací subjektům údajů odpovídala unifikovaným způsobem, aniž by zohlednila fakt, že byla v postavení zpracovatele. Společnost též ve svých odpovědích žadatelům neuvedla účel volání, tedy že telefonický hovor byl učiněn za účelem poskytnutí marketingové nabídky jiného subjektu (smluvního klienta); dále bylo ve většině odpovědí uvedeno, že zákonným titulem pro využití telefonního čísla byl oprávněný zájem kontrolované osoby jako správce osobních údajů, což však v tomto případě neplatilo.
Posouzení vlivu na ochranu osobních údajů
Posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR má provádět každý správce, jehož záměr zpracování lze hodnotit jako vysoce rizikový z hlediska zásahu do práv a svobod fyzických osob v souvislosti se zpracováním jejich osobních údajů. Úřad ve své zprávě upozorňuje na chyby, kterých se správci při tomto posuzování dopouštěli:
- balanční test je proveden tak, že z něj není možno ověřit potřebnost, vhodnost a přiměřenost zpracování osobních údajů;
- chybí nebo není dostatečně propracován popis zajištění práv subjektů údajů;
- popis přijatých technických a organizačních opatření bývá obecný a často není zřejmé, jak správce k jejich návrhu dospěl (není využita metodika zpracovaná ÚOOÚ a vlastní metodika správce zřejmá není); důsledkem je, že nelze ověřit, zda jsou přijatá opatření přiměřená a úplná.
Pokyny EDPB 05/2022
Předmětem veřejné konzultace jsou až do 27. června 2022 Pokyny 05/2022 Evropského sboru pro ochranu osobních údajů („EDPB“) o používání technologie pro rozpoznávání obličeje v oblasti vymáhání práva ve smyslu Směrnice (EU) 2016/680 o vymáhání práva („Směrnice“). Pokyny vycházejí ze současné situace, kdy stále více orgánů činných v trestním řízení používá nebo má v úmyslu používat technologii rozpoznávání obličeje (např. k identifikaci nebo ověření osoby). Pokyny obsahují také postoj EDPB k této problematice, který vychází ze společného stanoviska EDPB a Evropského inspektora pro ochranu osobních údajů 05/2021 k návrhu Nařízení o umělé inteligenci. Ve stanovisku tyto instituce společně vyzývají k zákazu použití technologie rozpoznávání obličeje k některým účelům (např. k biometrické identifikaci osob na dálku ve veřejném prostoru nebo posuzování emocí osoby).
EDPB uvádí, že technologie rozpoznávání obličeje zahrnující zpracování biometrických údajů představuje vážný zásah do práv na soukromí a též do ochrany osobních údajů. EDPB připomíná, že požadavky na ochranu osobních údajů upravené ve Směrnici musí být samozřejmě plně respektovány (jasný právní základ; konzultace s dozorovým úřadem pro ochranu osobních údajů; posouzení nezbytnosti a přiměřenosti; minimalizace údajů atd.). Rovněž doporučuje zveřejnit výsledky povinného posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR.
Pokyny EDPB 1/2021
EDPB přijal po veřejných konzultacích finální verzi Pokynů 1/2021 k příkladům týkajícím se oznamování porušení zabezpečení osobních údajů. Cílem pokynů je pomoci správcům osobních údajů při rozhodování o tom, jak zacházet s případy porušení ochrany osobních údajů a jaké faktory je třeba zvážit při hodnocení rizika. Přínosem těchto pokynů je, že při každém praktickém příkladu jsou popsána opatření, která přijal správce před vznikem protiprávního jednání, aby odvrátil riziko jeho vzniku, a opatření, která pomohou následně snížit riziko pro práva a svobody subjektů údajů. Dále se u každého příkladu nachází posouzení rizika, hodnocení kroků k odvrácení rizika a doporučená organizační a technická opatření k jeho minimalizaci.
Další články
EUDAMED: Jednotná databáze mění pravidla hry na trhu zdravotnických prostředků
Evropská databáze zdravotnických prostředků EUDAMED je jednou z nejvýznamnějších novinek, které přináší nařízení o zdravotnických prostředcích (MDR) a nařízení o diagnostických zdravotnických prostředcích in vitro (IVDR).
Sloučení kontrolní agendy krajských státních zastupitelství jako cesta k zachování menších okresních státních zastupitelství
Justice čelí zahlcení. Zatímco ministerstvo plánuje velkou reformu soudů až na rok 2028, efektivnějších úřadů a obřích úspor lze dosáhnout okamžitě. Stačí sloučit dozor a dohled na krajích. Má to však háček: nejdříve musíme utnout bezbřehý instanční dohled, ze kterého se v éře umělé inteligence stal nástroj šikanózních stěžovatelů a anonymů z internetu. Pokud systém nezačne podněty přísně filtrovat, zkolabuje a poškodí ty, kteří pomoc státu skutečně potřebují.
Přelomové rozhodnutí německého soudu k odpovědnosti za výroky AI chatbotů
Dne 12. května 2026 vydal Oberlandesgericht Hamm rozsudek, který představuje zásadní mezník v oblasti přičitatelnosti jednání systémů umělé inteligence podnikatelským subjektům. V rozhodnutí se soud zabýval otázkou, zda může podnik nést odpovědnost za nepravdivé informace generované jeho AI chatbotem, a to i v situaci, kdy k poskytnutí těchto informací nedošlo na základě jeho pokynu a chatbot byl původně trénován na správných údajích.
Rušíte dovolenou kvůli bezpečnostní situaci? Ne vždy máte nárok na vrácení peněz
Geopolitická situace ve světě dokáže změnit plány během okamžiku. Ozbrojené konflikty, teroristické útoky, masové nepokoje nebo náhlé uzavření vzdušného prostoru mohou vést ke zrušení celé dovolené ještě před odletem. V takových situacích může být poměrně matoucí, kdy vzniká nárok na vrácení peněz za letenky, ubytování i zaplacené služby.
Předkupní právo k nemovitosti
Za jakých podmínek předkupní právo vzniká a jaká jsou jeho specifika? V tomto článku bychom se zaměřili na institut předkupního práva k nemovitostem.
