Technologie  Právo 

TechLaw zpravodaj: E-shop musí klientovi zaplatit odškodné za únik přihlašovacích údajů

Soud v případu uživatele, který žaloval poskytovatele českého e-shopu za únik přihlašovacích a identifikačních údajů, dospěl k rozsudku a přiznal žalující straně finanční odškodnění. Chcete se dozvědět více? Přečte si náš prosincový TechLaw zpravodaj. V oblasti ochrany osobních údajů se dále věnujeme návrhu metodiky Úřadu pro ochranu osobních údajů k problematice správného provedení posouzení činnosti zpracování na ochranu osobních údajů či důležitému Evropskému judikátu ohledně limitů sledování zaměstnanců zaměstnavatelem.

Odškodnění za uniklé heslo

Internetový server Lupa.cz informoval o případu uživatele českého internetového obchodu, který se domáhal přiznání soudního odškodnění za únik přihlašovacích a identifikačních údajů vůči provozovateli serveru.

Z původně žalované částky 125 tisíc korun musí obchod zaplatit 10 tisíc korun a soudem stanovenou náhradu nákladů řízení. Podle soudu došlo k porušení uživatelova práva na informační sebeurčení. Zbytek požadované částky Městský soud v Praze žalobci nepřiznal s odůvodněním, že to byl žalobce, kdo umocnil rozsah nepříznivých důsledků úniku hesel tím, že je používal i u jiných služeb.

TechLaw zpravodaj: novinky ze světa ochrany osobních údajů, e-commerce, cybersecurity, IP/IT práva a spousta dalších informací. Zaregistrujte se k jeho odběru.

Rozsudek není precedentní. V jiných případech bude zcela jistě záležet na konkrétních okolnostech a důkazech k případu a výše vysouzené částky, délka a náklady vedení sporu pravděpodobně nevytvářejí dostatečnou motivaci k podobným žalobám. Změna by případně mohla nastat v budoucnu se zavedením tzv. hromadných žalob, nicméně ty české právo zatím nezná. Případ nám však připomíná, že v případě jeho porušení i GDPR umožňuje soukromoprávní vymáhání náhrady újmy na straně dotčených osob.

Metodika ÚOOÚ k provádění DPIA

Nařízení GDPR zavedlo pro správce osobních údajů zcela novou povinnost, a to provádět ve stanovených případech posouzení vlivu na ochranu osobních údajů („DPIA“). Po předchozím zveřejnění pravidel k identifikaci případů, kdy je DPIA potřeba provést (psali jsme v březnovém a červencovém vydání zpravodaje), nyní Úřad pro ochranu osobních údajů („ÚOOÚ“) předložil k veřejné diskusi na svých webových stránkách návrh metodiky k samotnému provádění DPIA.

Účelem DPIA je včasná prevence možných negativních dopadů zpracování osobních údajů, a to prostřednictvím vyhodnocení možných rizik a zavedení přiměřených a účinných technických a jiných opatření. Z uvedeného je tedy patrné, že takové posouzení je prováděno před zahájením samotného zpracování. Pokud se na správce povinnost provedení DPIA skutečně vztahuje, podléhá správce rovněž povinnosti veškerou dokumentaci k DPIA uchovat pro účely případné kontroly.

Jak postupovat při provádění DPIA?

ÚOOÚ rozdělil proces vyhotovení DPIA do 4 etap, které směřují k náležitému splnění této povinnosti.

  1. Správce by měl začít shromážděním informací o zpracování osobních údajů a měl by sestavit popis zpracování a jeho účelu.
  2. Další etapou je určení, zda se povinnost vypracovat DPIA na správce vztahuje.
  3. Třetí etapa je nejobsáhlejší, jelikož spočívá v samotném vypracování DPIA. Tuto etapu ÚOOÚ rozdělil na 8 částí, do kterých mimo jiné spadá posouzení nezbytnosti a přiměřenosti zpracování z hlediska účelů, posouzení rizik pro práva a svobody subjektů údajů, monitorování a aktualizace DPIA nebo také opatření stanovisek zástupců subjektů údajů, nezávislých odborníků a pověřence pro ochranu osobních údajů (pokud byl jmenován). Posouzení rizik pro práva a svobody doporučuje ÚOOÚ provést v 6 krocích, mezi které patří zejména identifikace primárních a sekundárních aktiv (např. zpracované informace, nosiče dat atd.), určení „zranitelnosti“ subjektů údajů (např. hrozby vyvolané zastaralostí technologií, nedostatečnou ochranou dat nebo aktiv apod.), určení hrozeb (např. poškození technického vybavení, neoprávněný přístup k údajům atd.) a také určení možného rizika.
  4. Za čtvrtou a zároveň závěrečnou etapu ÚOOÚ označuje monitorování dodržování opatření a pravidelné revize DPIA. K tomuto účelu má správce vypracovat harmonogram kontrol.

Judikát ESLP: sledování zaměstnanců a právo na soukromí

K Evropskému soudu pro lidská práva (ESLP) se dostal zajímavý případ sledování zaměstnanců pomocí průmyslových kamer. Zaměstnavatel, konkrétně španělský řetězec supermarketů, při provádění inventury zjistil, že se mu ztratilo zboží v celkové hodnotě několika desítek tisíc EUR. Aby se dopátral, jak k tomu došlo, nainstaloval do své provozovny několik kamer, přiznaných i skrytých, přičemž zaměstnance upozornil pouze na ty přiznané. Po deseti dnech došel zaměstnavatel ke zjištění, že zboží systematicky kradli někteří zaměstnanci, se kterými byl následně pracovní poměr ukončen. Někteří z těchto zaměstnanců se poté domáhali vyslovení neplatnosti výpovědi a celý spor se dostal až k ESLP.

Ten ve svém rozhodnutí zmíněné sledování poměřoval s právem na soukromí zaměstnanců, které zde mohlo být narušeno. Soud konstatoval, že ačkoliv je zaměstnavatel obecně povinen zaměstnance informovat o všech nainstalovaných kamerách, kterými je sledoval, existovaly zde spravedlivé důvody, proč tak neučinil, zejména s přihlédnutím k velkému rozsahu krádeží, důvodnosti podezření a faktu, že zjistit pachatele těchto krádeží by jiným způsobem bylo skoro nemožné. Zaměstnanci byli navíc sledováni pouze po omezenou dobu deseti dnů a záběry z kamer viděl pouze úzce omezený okruh lidí. Soud také poznamenal, že zaměstnanci měli i jiné možnosti obrany (například místní orgán pro ochranu osobních údajů), které ale nevyužili. Soud tedy dospěl k názoru, že takovéto sledování zaměstnanců je v souladu s právem.

Rozsudek je relevantní i pro Českou republiku a doplňuje sérii jiných rozsudků Evropského soudu pro lidská práva ohledně limitů sledování zaměstnanců zaměstnavatelem.

TechLaw zpravodaj Ochrana osobních údajů (GDPR)
Právo 

Rostoucí ceny stavebních materiálů komplikují zadávání a plnění veřejných zakázek

Ministerstvo pro místní rozvoj spolu s Úřadem pro ochranu hospodářské soutěže vydalo na začátku září stanovisko k problematice nárůstu cen stavebních materiálů. Reaguje tak na zvyšující se ceny betonářské oceli, tepelných izolací, železného šrotu a dalších materiálů o desítky až stovky procent. Příčinou nárůstu cen je nedostatek zmíněného zboží na trhu, s čímž se pojí i dlouhé dodací lhůty. Autoři stanoviska představují možná řešení problémů, které mohou v důsledku této situace vzniknout na trhu veřejných zakázek. 

22. 9. 2021
Nemovitosti  Právo 

Nový stavební zákon upravuje smlouvy obcí s investory

Poslanecká sněmovna schválila nový stavební zákon, který mimo jiné podstatně rozšíří úpravu tzv. plánovacích smluv. Přestože se jedná o významný nástroj při nastavování vztahů mezi obcemi a investory při výstavbě, plánovací smlouvy byly doposud ve stavebním zákoně upraveny pouze okrajově. V praxi tak byly mezi obcemi a investory uzavírány různé jiné formy závazků. Nově přijatý stavební zákon proto upřesňuje obsah zmíněných smluv, zjednodušuje procesní záležitosti a zajišťuje oběma stranám větší právní jistoty. 

4. 8. 2021