Technologie  Právo 

Chytrá karanténa: Jaké nejasnosti panují ohledně zpracování osobních údajů?

Jak si vedl Úřad pro ochranu osobních údajů v roce 2019 a jaké plány má pro rok 2020? Jak proběhla jeho reorganizace a na kontrolu kterých institucí se hodlá zaměřit? Na tyto a další otázky najdete odpovědi v našem květnovém TechLaw zpravodaji, kde se věnujeme ochranně osobních údajů. Dozvíte se také, co je to chytrá karanténa, jak funguje nebo s jakými právními úskalími se potýká.

Podívejte se i na další témata, kterým se věnujeme v našem květnovém TechLaw zpravodaji:

Činnost Úřadu pro ochranu osobních údajů za uplynulý rok

V měsíci únoru zveřejnil Úřad pro ochranu osobních údajů („Úřad“) výroční zprávu za rok 2019, ve které jsou mimo jiné obsaženy i výsledky jeho kontrolní činnosti.

Podle jakých předpisů Úřad postupoval?

Kontroly zahajované Úřadem v roce 2019 byly vykonávány již podle GDPR (Obecné nařízení o ochraně osobních údajů), respektive tzv. adaptačního zákona č. 110/2019 Sb., o zpracování osobních údajů. Avšak vzhledem k tomu, že v roce 2019 ještě dobíhala řízení zahájená za účinnosti dřívějšího zákona č. 101/2000 Sb., o ochraně osobních údajů, dokončoval Úřad takováto řízení a ukládal tresty rovněž podle tohoto staršího předpisu. V souvislosti s dozorovou činností v oblasti obchodních sdělení Úřad postupoval v souladu se zákonem č. 480/2004 Sb., o některých službách informační společnosti.

Na jaké oblasti se Úřad zaměřoval?

Předmětem kontrol v roce 2019 bylo například využívání souborů cookies nebo zpracování biometrických údajů, konkrétně se jednalo o využití otisků prstů pro identifikační účely. Další specifickou oblastí, které se Úřad v minulém roce věnoval, byla oblast zdravotnictví, v jejímž rámci se Úřad zabýval laboratorním screeningem novorozenců. Úřad se v roce 2019 rovněž zaměřil na kontrolu zpracování osobních údajů osob přepravovaných v dopravních prostředcích (Dopravní podnik hl. m. Prahy, a.s.).

Jaká byla nejčastější pochybení?

Nejčastěji kontrolující konstatovali nedodržení základních zásad zpracování, absenci právního důvodu pro zpracování osobních údajů a také porušení práv subjektu údajů. K porušení též docházelo například při zabezpečení osobních údajů nebo rozesílání obchodních sdělení. Ve své výroční zprávě Úřad také konstatoval, že se i v roce 2019 setkal s odmítnutím spolupráce a v 11 případech dokonce musel přistoupit k uložení pokuty za neposkytnutí součinnosti dle zákona č. 255/2012 Sb., kontrolní řád. V roce 2019 Úřad uložil pokuty celkem 32 subjektům v souhrnné výši téměř jednoho milionu korun. Celková výše sankce udělené oddělením obchodních sdělení činila 2 099 000 Kč.

Organizační změny uvnitř Úřadu – reorganizace odboru dozoru

V souvislosti s přijetím tzv. adaptačního zákona došlo od 1. července k reorganizaci odboru dozoru Úřadu. Nově vznikly kontrolní týmy v rámci specializovaných oddělení a čtyři dosavadní inspektoráty byly nahrazeny dvěma odděleními vykonávajícími kontrolní a dozorovou činnost v soukromém a veřejném sektoru.

Kdo byl podroben kontrolám Úřadu?

V roce 2019 bylo zahájeno celkem 68 kontrol včetně kontrol týkajících se obchodních sdělení, kterých bylo zahájeno celkem 5. Kontrolou byly dotčeny jak veřejnoprávní (např. Česká správa sociálního zabezpečení nebo Generální finanční ředitelství), tak soukromoprávní subjekty (bankovní a nebankovní subjekty, kasina, malé a střední podniky), přičemž kontroly byly zahajovány jak z poznatků ze stížnostní agendy, tak na základě kontrolního plánu 2019. Kontroly se zaměřily také na politické strany s cílem zkontrolovat zpracování osobních údajů jak v rámci členské základny, tak i mimo ni.

Kontrolní plán ÚOOÚ pro rok 2020

Taktéž v měsíci únoru zveřejnil Úřad na svých webových stránkách plán kontrol na rok 2020.

V tomto roce Úřad naplánoval provedení celkem 29 kontrol, které se zaměří zejména na chytré měření energií, provozování kamerových systémů využívajících biometriku, kontrolu využívání cookies a šíření obchodních sdělení. Do plánu kontrol je rovněž zahrnuta kontrola subjektů poskytujících nebankovní půjčky – Úřad totiž chce ověřit postupy při vyžadování a zpracovávání osobních údajů při vyřizování žádostí o finanční produkt, a dále také ověřit správnost plnění informační povinnosti správců a jejich postup v případech, kdy osoby dotčené zpracováním uplatní svá práva.

V rámci veřejného sektoru Úřad zkontroluje například Okresní správu sociálního zabezpečení, vízový informační systém a národní registr hrazených zdravotních služeb. Kontrola nemine ani oblast školství, Úřad se v této souvislosti zaměří na zajištění bezpečnosti žáků a jejich vyučujících.

Chytrá karanténa

Z pohledu ochrany osobních údajů je zajímavým a částečně kontroverzním počinem projekt tzv. chytré karantény.

O co se jedná?

Chytrá karanténa je systém, jehož cílem je zabránit šíření nemoci COVID-19 v České republice a zároveň uvolňovat opatření vydané vládou v době nouzového stavu tak, aby se život v zemi postupně dostal do stavu před vypuknutím epidemie. V současnosti probíhá její testování v Olomouckém kraji, Středočeském kraji a v Praze, postupně se přidávají i další kraje. Naplno byl systém spuštěn 1. května.

Jak systém funguje?

Podle zveřejněných informací hygienická stanice pacientovi zavolá na telefonní číslo a oznámí mu, že byl pozitivně testován. Požádá ho o souhlas se zpracováním osobních údajů získaných od telefonního operátora a banky, aby mohla vytvořit tzv. vzpomínkovou mapu. Pokud nebude souhlas udělen, pacient bude dotázán, aby uvedl osoby, se kterými se v posledních dnech setkal, a místa, která navštívil. Tyto informace ale nemusí být úplně přesné, protože pacient si nemusí na vše vzpomenout. Pokud je souhlas udělen, pomocí dat od telefonního operátora a informací z platební karty bude zjištěno, kde se pacient pohyboval a budou identifikováni potenciálně nakažení lidé. Hygienická stanice pak zjištěné osoby telefonicky informuje a bude jim proveden test na přítomnost koronaviru. Data ze vzpomínkové mapy budou vymazána nebo anonymizována nejpozději po 6 hodinách.

Nejasnosti ohledně způsobu zpracování osobních údajů v rámci chytré karantény

Ohledně zpracování osobních údajů však stále zůstává řada nejasností. První z nich se týká toho, zda má být ke zpracování (tedy vytvoření vzpomínkové mapy) získáván souhlas ze strany pozitivně testované osoby. Ačkoli Ministerstvo zdravotnictví v mimořádném opatření MZDR 12398/2020-1/MIN/KAN podmiňuje zpracování osobních údajů souhlasem, což odpovídá režimu článku 6 odst. 1 písm. a) GDPR, Úřad pro ochranu osobních údajů („Úřad“) ve svém vyjádření z 2. dubna uvádí, že údaje jsou zpracovávány veřejnými orgány při výkonu veřejné moci, popřípadě soukromými správci ve veřejném zájmu, a to v mezích čl. 6 odst. 1 písm. e) GDPR. I přesto jsou souhlasy se zpracováním sbírány.

Dále není jasné, do jaké míry byly otázky zpracování osobních údajů konzultovány se samotným Úřadem. Předsedkyně Úřadu požádala na konci března 2020 ministra zdravotnictví o konkrétní dokumentaci k projektu chytré karantény. V návaznosti na chybné informace v médiích (nesprávně poukazujících na jeho schvalovací roli) Úřad uvádí, že Ministerstvem byly zaslány pouze základní informace. Následně došlo též ke společnému jednání s vedením Ministerstva, hlavní hygieničkou ČR a pověřenkyní (pro ochranu osobních údajů) Ministerstva zdravotnictví. Připomínky Úřadu byly do projektu částečně zapracovány a na webu byla zveřejněna korektní informace o všech aspektech zpracování osobních údajů v projektu chytré karantény.

Kompletní dokumentaci však Úřad dosud zřejmě neobdržel a nemůže tak jednotlivá opatření a technologie blíže komentovat. Konzultace některých částí však samozřejmě nezbavuje správce a zpracovatele povinnosti, aby sami aktivně používali nástroje k ochraně osobních údajů, předcházeli tak rizikům prostřednictvím průběžné kontroly a o klíčových detailech informovali dotčené osoby.

Za zmínku také stojí, že projekt chytré karantény využívá datasety (např. telekomunikační data), tedy možnost sběru, která je již roky předmětem soudních diskusí (Ústavní soud, Soudní dvůr Evropské Unie).

Projekt chytré karantény bude zajímavé sledovat, a to jak z hlediska praktického fungování, tak z hlediska precedentního nastavení podobných projektů, které z povahy věci musí vyvažovat podstatné zásahy do soukromí s ochranou důležitých veřejných zájmů.

TechLaw zpravodaj Ochrana osobních údajů (GDPR)
Technologie  Deloitte živě 

Společnost Greycortex je vlastně takový doktor. Zajišťuje, aby jeho klienti nedostali nemoc z kybernetické nákazy

Co člověk zahesluje, to také odhesluje. Tohle platilo pár let zpátky. Dnes kyberkriminálníci využívají pokročilé technologie, útoky jsou mnohem sofistikovanější. A cílenější. Následky pak také mnohem horší. „Vyvíjí se nejen ta dobrá strana, tedy firmy zabývající se kybernetickou ochranou, ale i ta špatná. Útoky vedou přes slabá místa a lidské chyby,“ říká Petr Chaloupka, CEO společnosti Greycortex, která řeší zabezpečení počítačových a bezpečnostních sítí. Příběh této firmy, která uspěla mezi nejrychleji rostoucími technologickými společnostmi, se začal psát hodně dávno před jejím vznikem. Je o vášni, vizi, dovednostech, ale i pořádné dávce humoru. A vlastně je tak trochu spojen i s počátky komputerizace v Československu. 

2. 12. 2020
Nemovitosti  Právo 

Dopad koronavirové pandemie na nemovitostní trh

Vládní opatření přijatá v souvislosti s druhou vlnou koronavirové pandemie opět omezila fungování řady firem a podnikatelů. Jako jeden z nástrojů pro zmírnění negativních dopadů tohoto omezení schválila vláda program Covid – Nájemné 2, v jehož rámci mohou podnikatelé a firmy žádat o dotaci na komerční nájem. Od první výzvy se liší tím, že již neobsahuje podmínku, aby pronajímatel slevil žadateli minimálně 30 procent nájemného. Za jakých podmínek se tedy může žádat? A jak trh s komerčním nájmem poznamenala současná krize? 

1. 12. 2020
Právo 

Digitalizace a automatizace mají obrovský potenciál a my chceme být v čele pelotonu, říká Jan Spáčil z Deloitte Legal

„V těžkých dobách přestává být inovace pouhou příležitostí a stává se nutností. V programu regenerace pomáháme klientům dívat se dopředu a překlenout složité období. Pochopit, kam nás například přechod do on-line prostředí posunul a jak čerpat z jeho výhod. Digitalizace a automatizace mají obrovský potenciál a my chceme být v čele pelotonu,“ říká Jan Spáčil, vedoucí partner Deloitte Legal Česká republika. V rozhovoru promluvil také o tom, jak se právní byznys přelévá do on-line prostředí, o úzké spolupráci se start-upy v oblasti LegalTech a také o motivaci mladých talentů. 

26. 11. 2020