{"id":2201,"date":"2023-12-27T09:44:02","date_gmt":"2023-12-27T09:44:02","guid":{"rendered":"https:\/\/haven-advisory.cz\/?p=2201"},"modified":"2024-02-26T10:55:38","modified_gmt":"2024-02-26T10:55:38","slug":"prehled-k-problematice-ochrany-osobnich-udaju-2","status":"publish","type":"post","link":"https:\/\/haven-advisory.cz\/aktuality\/prehled-k-problematice-ochrany-osobnich-udaju-2\/","title":{"rendered":"Problematika ochrany osobn\u00edch \u00fadaj\u016f 02\/23"},"content":{"rendered":"\n
V n\u00e1sleduj\u00edc\u00edm p\u0159ehledu v\u00e1s sezn\u00e1m\u00edme s ned\u00e1vn\u00fdmi rozhodnut\u00edmi \u00da\u0159adu pro ochranu osobn\u00edch \u00fadaj\u016f (\u00daOO\u00da)<\/strong>, z\u00e1v\u011bry proveden\u00fdch kontrol a s dal\u0161\u00edmi novinkami v oblasti ochrany osobn\u00edch \u00fadaj\u016f.<\/p>\n\n\n\n O dal\u0161\u00edch informac\u00edch z oblasti pr\u00e1vn\u00ed ochrany osobn\u00edch \u00fadaj\u016f budeme informovat v dal\u0161\u00edm vyd\u00e1n\u00ed tohoto p\u0159ehledu, nebo v pr\u00e1vn\u00edch aktualit\u00e1ch, kter\u00e9 pravideln\u011b vyd\u00e1v\u00e1me.<\/p>\n\n\n\n Z kontroln\u00ed \u010dinnosti \u00daOO\u00da<\/strong><\/p>\n\n\n\n \ud83d\udfe3Nevy\u017e\u00e1dan\u00e1 obchodn\u00ed sd\u011blen\u00ed<\/strong><\/p>\n\n\n\n Za obdob\u00ed roku 2022 \u0159e\u0161il \u00da\u0159ad pro ochranu osobn\u00edch \u00fadaj\u016f (d\u00e1le jen \u201e\u00da\u0159ad<\/strong>\u201c) v\u00edce ne\u017e 900 st\u00ed\u017enost\u00ed podan\u00fdch v souvislosti se zas\u00edl\u00e1n\u00edm obchodn\u00edch sd\u011blen\u00ed<\/strong>. V n\u00e1sleduj\u00edc\u00edm shrnut\u00ed uv\u00e1d\u00edme n\u011bkolik podstatn\u00fdch z\u00e1v\u011br\u016f z prob\u011bhl\u00fdch kontrol:<\/p>\n\n\n\n Obdobn\u00e9 plat\u00ed v p\u0159\u00edpad\u011b, pokud je souhlas za\u010dlen\u011bn\u00fd nap\u0159. v obchodn\u00edch podm\u00ednk\u00e1ch. Zakoupen\u00ed ur\u010dit\u00e9 slu\u017eby z\u00e1kazn\u00edkem je v tomto p\u0159\u00edpad\u011b podm\u00edn\u011bn\u00e9 souhlasem s obchodn\u00edmi podm\u00ednkami. Z pohledu obecn\u00e9ho na\u0159\u00edzen\u00ed (GDPR) se v tomto p\u0159\u00edpad\u011b nejedn\u00e1 o svobodn\u011b ud\u011blen\u00fd souhlas a je neplatn\u00fd.<\/p>\n\n\n\n Jednoduch\u00fdm \u0159e\u0161en\u00edm pro z\u00edsk\u00e1n\u00ed platn\u00e9ho souhlasu m\u016f\u017ee b\u00fdt spr\u00e1vn\u00e1 aplikace za\u0161krt\u00e1vac\u00edho pol\u00ed\u010dka s mo\u017enost\u00ed (ne)ud\u011blen\u00ed souhlasu se zas\u00edl\u00e1n\u00edm obchodn\u00edch sd\u011blen\u00ed p\u0159i realizaci n\u00e1kupu slu\u017eby z\u00e1kazn\u00edkem.<\/strong><\/p>\n\n\n\n Odes\u00edlatel tvrdil, \u017ee e-mailov\u00e9 adresy z\u00edskal z ve\u0159ejn\u00fdch zdroj\u016f a st\u011b\u017eovatel\u00e9 tak nejsou jeho z\u00e1kazn\u00edky \u2013 proto od nich souhlas k zas\u00edl\u00e1n\u00ed obchodn\u00edch sd\u011blen\u00ed nemohl nez\u00edskat. V\u00fdjimka se v\u0161ak nevztahuje na z\u00e1kazn\u00edky jin\u00e9 spole\u010dnosti, a to ani v p\u0159\u00edpad\u011b, kdy spolu tyto spole\u010dnosti sd\u00edl\u00ed spole\u010dnou marketingovou datab\u00e1zi a jednatel\u00e9 t\u011bchto spole\u010dnost\u00ed jsou rodinn\u00fdmi p\u0159\u00edslu\u0161n\u00edky. \u00dadaje mus\u00ed spole\u010dnosti z\u00edskat p\u0159\u00edmo od sv\u00fdch z\u00e1kazn\u00edk\u016f, nikoli z ve\u0159ejn\u011b dostupn\u00fdch zdroj\u016f (nap\u0159. rejst\u0159\u00edk\u016f).<\/strong><\/p>\n\n\n\n Z\u00e1kaznick\u00e1 data pro \u00fa\u010dely marketingov\u00e9ho osloven\u00ed nemohou sd\u00edlet mezi v\u00edce spole\u010dnostmi, pokud k tomu z\u00e1kazn\u00edci dan\u00fdch spole\u010dnost\u00ed neud\u011blili v\u00fdslovn\u00fd souhlas. \ud83d\udfe3Zpracov\u00e1n\u00ed katastr\u00e1ln\u00edch dat<\/strong><\/p>\n\n\n\n \u00da\u0159ad provedl spole\u010dn\u011b s \u010cesk\u00fdm \u00fa\u0159adem zem\u011bm\u011b\u0159i\u010dsk\u00fdm a katastr\u00e1ln\u00edm (\u010c\u00daZK) kontrolu zpracov\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f u osoby, kter\u00e1 poskytovala slu\u017eby mj. zalo\u017een\u00e9 na zpracov\u00e1n\u00ed katastr\u00e1ln\u00edch dat.<\/strong><\/p>\n\n\n\n P\u0159esto\u017ee kontrolovan\u00e1 osoba odm\u00edtla, \u017ee by byla v postaven\u00ed spr\u00e1vce \u2013 ze sv\u00fdch server\u016f vymazala software, kter\u00fd zaji\u0161\u0165oval provoz slu\u017eeb, kter\u00e9 byly p\u0159edm\u011btem kontroly a v\u0161echna s n\u00edm souvisej\u00edc\u00ed data, \u00da\u0159adu se v datech extrahovan\u00fdch od poskytovatele softwaru poda\u0159ilo nal\u00e9zt 427 300 rodn\u00fdch \u010d\u00edsel.<\/p>\n\n\n\n \u00da\u0159ad tak\u00e9 vyhodnotil postaven\u00ed kontrolovan\u00e9 osoby jako spr\u00e1vce, proto\u017ee zjistil, \u017ee kontrolovan\u00e1 osoba nevyu\u017e\u00edvala osobn\u00ed \u00fadaje dostupn\u00e9 skrze ofici\u00e1ln\u00ed d\u00e1lkov\u00fd p\u0159\u00edstup do katastru nemovitost\u00ed, ale \u00fadaje z vlastn\u00ed datab\u00e1ze, ze kter\u00fdch z\u00edsk\u00e1vala data pro sv\u00e9 klienty, kte\u0159\u00ed vyu\u017e\u00edvali jej\u00edch slu\u017eeb.<\/p>\n\n\n\n \u00da\u0159ad zjistil v dan\u00e9 v\u011bci \u010detn\u00e1 poru\u0161en\u00ed obecn\u00e9ho na\u0159\u00edzen\u00ed o ochran\u011b osobn\u00edch \u00fadaj\u016f<\/strong> (GDPR), jmenovit\u011b informa\u010dn\u00ed povinnosti ve vztahu k subjekt\u016fm, \u00fadaj\u016f o podm\u00ednk\u00e1ch zpracov\u00e1v\u00e1n\u00ed jejich osobn\u00edch \u00fadaj\u016f, povinnosti p\u0159edlo\u017eit podklady dokl\u00e1daj\u00edc\u00ed pln\u011bn\u00ed opat\u0159en\u00ed p\u0159ijat\u00e1 v souvislosti s provozem datab\u00e1ze a povinnosti v\u00e9st z\u00e1znamy o \u010dinnostech zpracov\u00e1n\u00ed.<\/p>\n\n\n\n \u00daOO\u00da v t\u00e9to souvislosti d\u00e1le poukazuje na to, \u017ee smaz\u00e1n\u00edm softwaru a v n\u011bm obsa\u017een\u00fdch osobn\u00edch \u00fadaj\u016f nezprost\u00ed spr\u00e1vce odpov\u011bdnosti<\/strong>. Spr\u00e1vce je toti\u017e i pot\u00e9 odpov\u011bdn\u00fd za to, aby dolo\u017eil soulad prov\u00e1d\u011bn\u00e9ho zpracov\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f s GDPR. Nedolo\u017e\u00ed-li ho, dopust\u00ed se poru\u0161en\u00ed GDPR, za co\u017e mu hroz\u00ed pokuta.<\/p>\n\n\n\n \ud83d\udfe3Bezpe\u010dnostn\u00ed incident<\/strong><\/p>\n\n\n\n \u00daOO\u00da provedl kontrolu u obecn\u011b prosp\u011b\u0161n\u00e9 spole\u010dnosti poskytuj\u00edc\u00ed soci\u00e1ln\u00ed slu\u017eby, u kter\u00e9 do\u0161lo k neopr\u00e1vn\u011bn\u00e9mu vstupu do prostor nezabezpe\u010den\u00fdch kamerov\u00fdmi syst\u00e9my ani syst\u00e9mem detekce pohybu, kde byly um\u00edst\u011bn\u00e9 bu\u0148ky, ze kter\u00fdch byly odcizen\u00e9 po\u010d\u00edta\u010de pou\u017e\u00edvan\u00e9 k registraci klient\u016f kontrolovan\u00e9 osoby.<\/p>\n\n\n\n Z vedlej\u0161\u00ed m\u00edstnosti (serverovny) pak byl odcizen serverov\u00fd po\u010d\u00edta\u010d. Jeden z odcizen\u00fdch notebook\u016f obsahoval hardware s instalovan\u00fdm p\u0159ihla\u0161ovac\u00edm rozhran\u00edm do vzd\u00e1len\u00fdch datab\u00e1z\u00ed.<\/p>\n\n\n\n Po zji\u0161t\u011bn\u00e9m bezpe\u010dnostn\u00edm incidentu p\u0159ijala spole\u010dnost opat\u0159en\u00ed v podob\u011b blokace p\u0159ihla\u0161ovac\u00edho protokolu do vzd\u00e1len\u00e9 datab\u00e1ze. <\/strong>Incident byl spole\u010dnost\u00ed ohl\u00e1\u0161en na policii. P\u0159i \u0161et\u0159en\u00ed polici\u00ed byly odcizen\u00e9 notebooky nalezeny. \u00daOO\u00da pot\u00e9 provedl anal\u00fdzu nalezen\u00fdch po\u010d\u00edta\u010d\u016f. Dva notebooky nesly znaky reinstalace a nebyly v nich identifikovan\u00e9 soubory s osobn\u00edmi \u00fadaji. Ve t\u0159et\u00edm notebooku v\u0161ak bylo velk\u00e9 mno\u017estv\u00ed osobn\u00edch \u00fadaj\u016f klient\u016f. \u00dadaje bylo mo\u017en\u00e9 z\u00edskat z aktu\u00e1ln\u00ed datab\u00e1ze i ulo\u017een\u00fdch z\u00e1loh datab\u00e1ze informa\u010dn\u00edho syst\u00e9mu.<\/p>\n\n\n\n \u00da\u0159ad tak\u00e9 zjistil, \u017ee k soubor\u016fm, kter\u00e9 byly v odcizen\u00e9m po\u010d\u00edta\u010di, nebylo vy\u017eadov\u00e1no ov\u011b\u0159en\u00ed u\u017eivatele a sou\u010dasn\u011b nebyly \u0161ifrovan\u00e9. Bylo konstatov\u00e1no, \u017ee p\u0159\u00edstup k osobn\u00edm \u00fadaj\u016fm mohl z\u00edskat ka\u017ed\u00fd, kdo m\u011bl po odcizen\u00ed po\u010d\u00edta\u010d\u016f k za\u0159\u00edzen\u00ed p\u0159\u00edstup.<\/p>\n\n\n\n \u00daOO\u00da v dan\u00e9m p\u0159\u00edpad\u011b zjistil, \u017ee nebyla p\u0159ijat\u00e1 vhodn\u00e1 technick\u00e1 a organiza\u010dn\u00ed opat\u0159en\u00ed k zabezpe\u010den\u00ed osobn\u00edch \u00fadaj\u016f, d\u00e1le ve lh\u016ft\u011b nebylo nahl\u00e1\u0161en\u00e9 poru\u0161en\u00ed zabezpe\u010den\u00ed osobn\u00edch \u00fadaj\u016f a nebyl uveden d\u016fvod opo\u017ed\u011bn\u00e9ho ohl\u00e1\u0161en\u00ed<\/strong>. Tak\u00e9 nedo\u0161lo k ohl\u00e1\u0161en\u00ed poru\u0161en\u00ed zabezpe\u010den\u00ed dot\u010den\u00fdm subjekt\u016fm \u00fadaj\u016f a ani nebyl jmenov\u00e1n pov\u011b\u0159enec pro ochranu osobn\u00edch \u00fadaj\u016f, i kdy\u017e doch\u00e1zelo ke zpracov\u00e1n\u00ed zvl\u00e1\u0161tn\u00ed kategorie osobn\u00edch \u00fadaj\u016f a zpracov\u00e1n\u00ed bylo rozs\u00e1hl\u00e9.<\/p>\n\n\n\n \ud83d\udfe3Hackersk\u00fd \u00fatok na zdravotnick\u00e9 za\u0159\u00edzen\u00ed<\/strong><\/p>\n\n\n\n \u00daOO\u00da zah\u00e1jil kontrolu zdravotnick\u00e9ho za\u0159\u00edzen\u00ed na z\u00e1klad\u011b obdr\u017een\u00e9 st\u00ed\u017enosti obsahuj\u00edc\u00ed podez\u0159en\u00ed na poru\u0161en\u00ed zabezpe\u010den\u00ed osobn\u00edch \u00fadaj\u016f v souvislosti s hackersk\u00fdm \u00fatokem. C\u00edlem m\u011blo b\u00fdt za\u0161ifrov\u00e1n\u00ed dat s n\u00e1sledn\u00fdm vym\u00e1h\u00e1n\u00edm finan\u010dn\u00ed \u010d\u00e1stky<\/strong>.<\/p>\n\n\n\n \u00daOO\u00da po proveden\u00ed kontroly zjistil, \u017ee kontrolovan\u00e1 osoba poru\u0161ila \u010dl. 33 odst. 1 GDPR, kdy\u017e bez zbyte\u010dn\u00e9ho dokladu, kdy se dozv\u011bd\u011bla o poru\u0161en\u00ed zabezpe\u010den\u00ed osobn\u00edch \u00fadaj\u016f, neohl\u00e1sila poru\u0161en\u00ed \u00daOO\u00da.<\/p>\n\n\n\n Kontrolovan\u00e1 osoba z\u00e1rove\u0148 nedolo\u017eila, \u017ee by vhodn\u00fdm zp\u016fsobem ozn\u00e1mila poru\u0161en\u00ed zabezpe\u010den\u00ed osobn\u00edch \u00fadaj\u016f subjekt\u016fm \u00fadaj\u016f a jej\u00ed dokumentace o cel\u00e9m incidentu neobsahovala \u00fa\u010dinky dan\u00e9ho poru\u0161en\u00ed.<\/p>\n\n\n\n Kontrolovan\u00e1 osoba podala proti kontroln\u00edm zji\u0161t\u011bn\u00edm n\u00e1mitky, ve kter\u00fdch pouk\u00e1zala na to, \u017ee k hackersk\u00e9mu \u00fatoku do\u0161lo vlivem nedostate\u010dn\u00e9ho nastaven\u00ed ochrany osobn\u00edch \u00fadaj\u016f zpracovatelem, a sou\u010dasn\u011b byl v mezidob\u00ed nainstalov\u00e1n nov\u00fd software.<\/p>\n\n\n\n \u00daOO\u00da v\u0161ak ve vy\u0159\u00edzen\u00ed n\u00e1mitek uvedl, \u017ee instalace opravy serverov\u00e9ho softwaru nevy\u0159e\u0161\u00ed situace, kdy server ji\u017e byl kompromitov\u00e1n.<\/strong><\/p>\n\n\n\n \ud83d\udfe3Vadn\u00e1 funkcionalita<\/strong><\/p>\n\n\n\n \u00daOO\u00da provedl kontrolu dodavatele online rezerva\u010dn\u00edho syst\u00e9mu o\u010dkov\u00e1n\u00ed \u2013 p\u0159edm\u011btem bylo poru\u0161en\u00ed zabezpe\u010den\u00ed osobn\u00edch \u00fadaj\u016f<\/strong>, kter\u00e9 spo\u010d\u00edvalo v chyb\u011b funkcionality webov\u00fdch str\u00e1nek kontrolovan\u00e9 osoby, kter\u00e1 umo\u017enila zobrazen\u00ed \u010d\u00edsla poji\u0161t\u011bnce (a tak\u00e9 rodn\u00e9ho \u010d\u00edsla) a jeho n\u00e1sledn\u00fd p\u0159enos do USA prost\u0159ednictv\u00edm n\u00e1stroje pro z\u00edsk\u00e1v\u00e1n\u00ed statistick\u00fdch dat Google Analytics.<\/p>\n\n\n\n \u00daOO\u00da po proveden\u00e9 kontrole uzav\u0159el, \u017ee kontrolovan\u00e1 osoba jako odborn\u00edk neupozornila spr\u00e1vce na nevhodnost pokynu k vytvo\u0159en\u00ed syst\u00e9mu, v r\u00e1mci kter\u00e9ho URL adresa obsahovala \u010d\u00edslo poji\u0161tence (rodn\u00e9 \u010d\u00edslo) a tuto zpracov\u00e1vala za sou\u010dasn\u00e9ho pou\u017eit\u00ed slu\u017eby Google Analytics. Do\u0161lo k \u00faniku URL adres v\u010detn\u011b \u010d\u00edsel poji\u0161tenc\u016f v rozsahu cca 80 tis\u00edc subjekt\u016f \u00fadaj\u016f.<\/p>\n\n\n\n Ve vymezen\u00e9m obdob\u00ed nebylo zpracov\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f kontrolovanou osobou platn\u00e9 v souladu s GDPR, kdy\u017e se zpracov\u00e1n\u00ed \u0159\u00eddilo smlouvou, ani\u017e by napl\u0148ovala atributy \u010dl. 28 odst. 3 GDPR. D\u00e1le kontrolovan\u00e1 osoba poru\u0161ovala \u010dl. 37 odst. 1 GDPR, kdy pro zpracov\u00e1n\u00ed nejmenovala pov\u011b\u0159ence pro ochranu osobn\u00edch \u00fadaj\u016f.<\/p>\n\n\n\n \ud83d\udfe3Kontrola aplikac\u00ed Te\u010dka\/\u010dTe\u010dka<\/strong><\/p>\n\n\n\n \u00daOO\u00da se ve sv\u00e9 kontroln\u00ed \u010dinnosti zam\u011b\u0159il tak\u00e9 na zpracov\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f subjektu \u00fadaj\u016f v souvislosti s elektronick\u00fdm certifik\u00e1tem EU COVID-19<\/strong>, zp\u0159\u00edstupn\u011bn\u00e9m na o\u010dkovac\u00edm port\u00e1lu https:\/\/ocko.uzis.cz\/<\/a>, v\u010detn\u011b aplikac\u00ed \u201eTe\u010dka<\/em>\u201c a \u201e\u010dTe\u010dka<\/em>\u201c.<\/p>\n\n\n\n Zjistil, \u017ee ministerstvo zdravotnictv\u00ed jako kontrolovan\u00e1 osoba poru\u0161ilo GDPR, kdy\u017e v souvislosti s vyd\u00e1v\u00e1n\u00edm p\u016fvodn\u00edch certifik\u00e1t\u016f doch\u00e1zelo p\u0159i na\u010dten\u00ed QR k\u00f3du \u010dte\u010dkou v mobiln\u00edm za\u0159\u00edzen\u00ed ke zp\u0159\u00edstupn\u011bn\u00ed \u00fadaje o \u010d\u00edslu poji\u0161t\u011bnce dr\u017eitele certifik\u00e1tu a v aplikaci \u010dTe\u010dka nebylo znemo\u017en\u011bn\u00e9 po\u0159izov\u00e1n\u00ed screenshotu displeje. Tato skute\u010dnost je v rozporu se smyslem aplikace, tedy ov\u011b\u0159en\u00ed platnosti certifik\u00e1t\u016f, bez zanech\u00e1n\u00ed elektronick\u00e9 stopy s osobn\u00edmi \u00fadaji o ov\u011b\u0159en\u00ed.<\/p>\n\n\n\n \ud83d\udfe3Potvrzen\u00e1 mili\u00f3nov\u00e1 pokuta pro ministerstvo vnitra<\/strong><\/p>\n\n\n\n Ministerstvu vnitra byla ulo\u017eena pokuta za plo\u0161n\u00e9 zpracov\u00e1n\u00ed \u00fadaj\u016f o p\u0159ibli\u017en\u011b 2 000 000 osob\u00e1ch s onemocn\u011bn\u00edm COVID-19, kter\u00e9 se nakazily v obdob\u00ed od 1. 4. 2021 do 8. 3. 2022, a kter\u00fdm byla na\u0159\u00edzena izolace.<\/strong><\/p>\n\n\n\n Z\u00e1kon o policii \u010cR neumo\u017e\u0148uje plo\u0161n\u00e9 shroma\u017e\u010fov\u00e1n\u00ed takzvan\u00fdch citliv\u00fdch osobn\u00edch \u00fadaj\u016f, ke kter\u00fdm pat\u0159\u00ed tak\u00e9 informace o zdravotn\u00edm stavu<\/strong>. Plo\u0161n\u00e9 zpracov\u00e1n\u00ed takov\u00fdch informac\u00ed s sebou nese velmi z\u00e1va\u017en\u00e1 rizika. Policie t\u00edm, \u017ee shroma\u017e\u010fovala citliv\u00e1 data plo\u0161n\u011b a bez vazby na konkr\u00e9tn\u00ed pro\u0161et\u0159ovan\u00fd p\u0159\u00edpad, p\u0159ekro\u010dila pravomoci, kter\u00e9 j\u00ed ukl\u00e1d\u00e1 z\u00e1kon. Shroma\u017e\u010fov\u00e1n\u00ed dat prob\u00edhalo nav\u00edc bez adekv\u00e1tn\u00edho informov\u00e1n\u00ed dot\u010den\u00fdch osob, kter\u00e9 je nezbytn\u00e9 proto, aby se dan\u00e9 osoby mohly proti neopr\u00e1vn\u011bn\u00e9mu shroma\u017e\u010fov\u00e1n\u00ed br\u00e1nit.<\/p>\n\n\n\n Policie m\u011bla p\u0159ed zah\u00e1jen\u00edm sb\u011bru osobn\u00edch dat prov\u00e9st posouzen\u00ed vlivu na ochranu osobn\u00edch \u00fadaj\u016f a d\u00e1le zam\u00fd\u0161len\u00fd zp\u016fsob shroma\u017e\u010fov\u00e1n\u00ed a zpracov\u00e1n\u00ed \u00fadaj\u016f projednat s \u00daOO\u00da. Oba povinn\u00e9 kroky v\u0161ak neprovedla. Dle z\u00e1v\u011bru \u00da\u0159adu takov\u00e9 zpracov\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f nen\u00ed mo\u017en\u00e9.<\/p>\n\n\n\n Pokutu za p\u0159estupek bylo ministerstvu jako org\u00e1nu ve\u0159ejn\u00e9 moci mo\u017en\u00e9 ud\u011blit na z\u00e1klad\u011b hlavy III. z\u00e1kona o zpracov\u00e1v\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f, kter\u00e1 spad\u00e1 do re\u017eimu trestn\u011b pr\u00e1vn\u00ed sm\u011brnice<\/strong> (Sm\u011brnice Evropsk\u00e9ho parlamentu a Rady (EU) 2016\/680 ze dne 27. dubna 2016) a ukl\u00e1d\u00e1n\u00ed trest\u016f ve\u0159ejnopr\u00e1vn\u00edm subjekt\u016fm nevylu\u010duje. Za poru\u0161en\u00ed povinnosti spravuj\u00edc\u00edho org\u00e1nu je pak mo\u017en\u00e9 ulo\u017eit pokutu a\u017e do v\u00fd\u0161e 10 milion\u016f korun.<\/p>\n\n\n\n Vzhledem k z\u00e1va\u017enosti p\u0159estupku a dal\u0161\u00edm okolnostem byla ministerstvu vym\u011b\u0159ena adekv\u00e1tn\u00ed \u010d\u00e1stka ve v\u00fd\u0161i 975 000 K\u010d.<\/strong><\/p>\n\n\n\n \ud83d\udfe3Pokuty za zpracov\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f prost\u0159ednictv\u00edm soubor\u016f cookies<\/strong><\/p>\n\n\n\n T\u00e9m\u011b\u0159 dva roky plat\u00ed nov\u00e1 \u00faprava z\u00e1kona o elektronick\u00fdch komunikac\u00ed v souladu s evropskou \u00fapravou zav\u00e1d\u011bj\u00edc\u00ed tzv. princip opt-in<\/em>, tj. povinnost pro provozovatele internetov\u00fdch platforem z\u00edskat v\u00fdslovn\u00fd souhlas u\u017eivatele s vyu\u017e\u00edv\u00e1n\u00edm cookies pro zpracov\u00e1n\u00ed jejich osobn\u00edch \u00fadaj\u016f<\/strong> (cookies jsou textov\u00e9 soubory, kter\u00e9 se na n\u00e1mi nav\u0161t\u00edven\u00e9 internetov\u00e9 str\u00e1nce ukl\u00e1daj\u00ed do na\u0161eho za\u0159\u00edzen\u00ed).<\/p>\n\n\n\n \u00da\u0159ad v uplynul\u00e9m roce monitoroval zejm\u00e9na to, zda provozovatel\u00e9 internetov\u00fdch platforem uvedli zpracov\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f prost\u0159ednictv\u00edm soubor\u016f cookies do souladu s GDPR<\/strong>, nebo\u0165 t\u00edm doch\u00e1z\u00ed ke zpracov\u00e1n\u00ed velk\u00e9ho mno\u017estv\u00ed osobn\u00edch \u00fadaj\u016f osob. V mnoha p\u0159\u00edpadech o tomto zpracov\u00e1n\u00ed dan\u00fd n\u00e1v\u0161t\u011bvn\u00edk webu nemus\u00ed v\u016fbec v\u011bd\u011bt. Vypov\u00eddaj\u00edc\u00edm v\u00fdsledkem t\u011bchto kontrol bylo ulo\u017een\u00ed pokut t\u00e9m\u011b\u0159 ve v\u00fd\u0161i 4,5 mil K\u010d v souhrnu.<\/p>\n\n\n\n Jak\u00e1 nej\u010dast\u011bj\u0161\u00ed poru\u0161en\u00ed \u00da\u0159ad v r\u00e1mci t\u011bchto kontrol zjistil?<\/strong><\/p>\n\n\n\n Dal\u0161\u00ed novinky z oblasti ochrany osobn\u00edch \u00fadaj\u016f<\/strong><\/p>\n\n\n\n \ud83d\udfe3R\u00e1mec ochrany soukrom\u00ed (Data Privacy Framework)<\/strong><\/p>\n\n\n\n K 10. 7. 2023 p\u0159ijala Evropsk\u00e1 komise rozhodnut\u00ed o odpov\u00eddaj\u00edc\u00ed \u00farovni ochrany osobn\u00edch \u00fadaj\u016f, kter\u00fdm potvrzuje nov\u00fd R\u00e1mec ochrany soukrom\u00ed (Data Privacy Framework)<\/strong> mezi EU a USA.<\/p>\n\n\n\n Ten nahrazuje sv\u00e9ho p\u0159edch\u016fdce \u201e\u0161t\u00edt na ochranu soukrom\u00ed<\/em>\u201c (Privacy Shield), kter\u00fd umo\u017e\u0148oval p\u0159ed\u00e1v\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f do USA. Pro nedostate\u010dnou \u00fapravu ochrany proti z\u00e1sah\u016fm do p\u0159ed\u00e1van\u00fdch osobn\u00edch \u00fadaj\u016f ze strany USA, byl v\u0161ak v roce 2020 Soudn\u00edm dvorem Evropsk\u00e9 unie zru\u0161en\u00fd. Po n\u011bkolikalet\u00e9m jedn\u00e1n\u00ed o nov\u00e9m \u0161t\u00edtu na ochranu soukrom\u00ed, vstoupil od \u010dervence 2023 v platnost r\u00e1mec nov\u00fd.<\/p>\n\n\n\n Jak bude nyn\u00ed p\u0159ed\u00e1v\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f do USA vypadat v praxi?<\/strong><\/p>\n\n\n\n Evropsk\u00e1 komise t\u00edmto rozhodnut\u00edm ve smyslu \u010dl. 45 odst. 3 obecn\u00e9ho na\u0159\u00edzen\u00ed o ochran\u011b osobn\u00edch \u00fadaj\u016f (d\u00e1le jen \u201eGDPR<\/strong>\u201c) potvrzuje, \u017ee USA zaji\u0161\u0165uj\u00ed odpov\u00eddaj\u00edc\u00ed \u00farove\u0148 ochrany pro p\u0159ed\u00e1v\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f mezi EU a spole\u010dnostmi USA, kter\u00e1 je srovnateln\u00e1 s \u00farovn\u00ed ochrany v EU. Pro dovozce osobn\u00edch \u00fadaj\u016f to znamen\u00e1, \u017ee pokud se dan\u00e1 americk\u00e1 spole\u010dnost \u00fa\u010dastn\u00ed programu R\u00e1mce ochrany soukrom\u00ed (tj. prok\u00e1zala soulad s po\u017eadavky na ochranu \u00fadaj\u016f, a zapsala se na ofici\u00e1ln\u00ed seznam certifikovan\u00fdch spole\u010dnost\u00ed dle nov\u00e9ho programu \u2013 https:\/\/www.dataprivacyframework.gov\/s\/<\/a>), mohou realizovat p\u0159ed\u00e1v\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f do USA za stejn\u00fdch podm\u00ednek jako v r\u00e1mci Evropsk\u00e9 unie (resp. Evropsk\u00e9ho hospod\u00e1\u0159sk\u00e9ho prostoru). Tedy bez nutnosti jin\u00fdch dopl\u0148uj\u00edc\u00edch opat\u0159en\u00ed (zejm\u00e9na pou\u017eit\u00ed n\u00e1stroj\u016f pro p\u0159ed\u00e1v\u00e1n\u00ed dle \u010dl. 46 GDPR).<\/p>\n\n\n\n Zjednodu\u0161en\u011b lze \u0159\u00edci, \u017ee pokud se americk\u00e1 spole\u010dnost \u00fa\u010dastn\u00ed nov\u00e9ho R\u00e1mce ochrany soukrom\u00ed, je pro \u00fa\u010dely p\u0159ed\u00e1v\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f subjekt\u016f EU pova\u017eovan\u00e1 za bezpe\u010dnou.<\/strong><\/p>\n\n\n\n V p\u0159\u00edpad\u011b, \u017ee spole\u010dnosti z USA v programu R\u00e1mce ochrany soukrom\u00ed zapsan\u00e9 nejsou, je mo\u017en\u00e9 jim p\u0159ed\u00e1vat osobn\u00ed \u00fadaje pouze za pou\u017eit\u00ed n\u011bkter\u00e9ho z n\u00e1stroj\u016f dle \u010dl. 46 GDPR, mezi kter\u00e9 pat\u0159\u00ed nap\u0159. standardn\u00ed smluvn\u00ed dolo\u017eky o ochran\u011b osobn\u00edch \u00fadaj\u016f \u010di z\u00e1vazn\u00e1 podnikov\u00e1 pravidla, p\u0159i\u010dem\u017e v\u00fdvozce bude nad\u00e1le povinn\u00fd prov\u00e9st vyhodnocen\u00ed, zda dan\u00fd n\u00e1stroj skute\u010dn\u011b poskytuje vhodn\u00e9 z\u00e1ruky ochrany pro p\u0159edan\u00e9 \u00fadaje (tzv. Transfer Impact Assessment).<\/p>\n\n\n\n Evropsk\u00e1 komise d\u00e1le v proveden\u00e9m posouzen\u00ed do\u0161la u problematick\u00e9 ot\u00e1zky p\u0159\u00edstupu americk\u00fdch org\u00e1n\u016f ve\u0159ejn\u00e9 moci k p\u0159edan\u00fdm osobn\u00edm \u00fadaj\u016fm k z\u00e1v\u011bru, \u017ee tento p\u0159\u00edstup nen\u00ed v takov\u00e9m rozsahu, kter\u00fd by \u0161el nad nezbytn\u00fd a p\u0159im\u011b\u0159en\u00fd r\u00e1mec toho, co je v demokratick\u00e9 spole\u010dnosti obecn\u011b uzn\u00e1van\u00e9. I p\u0159es to je subjekt\u016fm osobn\u00edch \u00fadaj\u016f z EU dan\u00e1 mo\u017enost vyu\u017e\u00edt n\u011bkolik mechanism\u016f n\u00e1pravy jako je uplatn\u011bn\u00ed st\u00ed\u017enosti u p\u0159\u00edslu\u0161n\u00e9 organizace v USA, p\u0159\u00edpadn\u011b u sv\u00e9ho n\u00e1rodn\u00edho \u00fa\u0159adu pro ochranu osobn\u00edch \u00fadaj\u016f. Pokud jsou d\u00e1le jejich \u00fadaje shroma\u017e\u010fovan\u00e9 a vyu\u017e\u00edvan\u00e9 zpravodajsk\u00fdmi slu\u017ebami USA, mohou se subjekty \u00fadaj\u016f z EU obr\u00e1tit i na nov\u011b z\u0159\u00edzen\u00fd Soud pro p\u0159ezkum ochrany \u00fadaj\u016f.<\/p>\n\n\n\n\n
\n
I v tomto p\u0159\u00edpad\u011b se v\u0161ak dle z\u00e1v\u011bru \u00da\u0159adu jedn\u00e1 o poru\u0161en\u00ed z\u00e1konn\u00e9 povinnosti m\u00edt prokazateln\u011b k dispozici p\u0159edchoz\u00ed souhlas u\u017eivatel\u016f<\/strong> a jejich elektronick\u00fd kontakt (by\u0165 z\u00edsk\u00e1n z ve\u0159ejn\u00fdch zdroj\u016f) vyu\u017eili za \u00fa\u010delem \u0161\u00ed\u0159en\u00ed obchodn\u00edch sd\u011blen\u00ed.<\/p>\n\n\n\n\n
I pro tuto v\u00fdjimku plat\u00ed p\u0159edpoklad, \u017ee z\u00e1kazn\u00edk mus\u00ed m\u00edt v\u017edy mo\u017enost jednoduch\u00fdm zp\u016fsobem, zdarma nebo na \u00fa\u010det t\u00e9to obchodn\u00ed spole\u010dnosti souhlas s vyu\u017eit\u00edm sv\u00e9ho elektronick\u00e9ho kontaktu pro \u00fa\u010dely zas\u00edl\u00e1n\u00ed obdobn\u00fdch nab\u00eddek odm\u00edtnout.<\/strong><\/p>\n\n\n\n\n
\n
\n
a d\u00e1le i nedostate\u010dn\u00e9 reagov\u00e1n\u00ed cookies li\u0161ty na individu\u00e1ln\u00ed nastaven\u00ed zpracov\u00e1n\u00ed osobn\u00edch \u00fadaj\u016f nebo neumo\u017en\u011bn\u00ed \u010di znesnadn\u011bn\u00ed \u010dten\u00ed webov\u00e9 str\u00e1nky.<\/li>\n<\/ul>\n\n\n\n