Technologie  Právo 

Úřad pro ochranu osobních údajů rozšiřuje působnost, proces vyřizování žádostí se zrychlí

S příchodem nového roku došlo v návaznosti na přijetí implementačního zákona k GDPR i k rozšíření působnosti Úřadu pro ochranu osobních údajů v oblasti svobodného přístupu k informacím. Co to v praxi znamená? Kupříkladu zavedení přezkumného řízení, které by mělo zrychlit a zjednodušit vyřizování žádostí. Více informací najdete v našem únorovém TechLaw zpravodaji, kde se věnujeme ochranně osobních údajů. Dále se můžete dozvědět více o statistikách dozorové činnosti zmíněného Úřadu pro ochranu osobních údajů, rovněž vám představíme seznam operací zpracování, které nepodléhají vypracování DPIA, a podíváme se i na blížící se konec podpory pro cookies třetích stran v Google Chrome.

TechLaw zpravodaj: novinky ze světa ochrany osobních údajů, cybersecurity, IP/IT práva, telekomunikace a spousta dalších informací. Nenechte si ujít další vydání a zaregistrujte se k jeho odběru.

Nová působnost Úřadu pro ochranu osobních údajů od roku 2020

Implementační zákon k Obecnému nařízení o ochraně osobních údajů („GDPR“), jakož i novela zákona o svobodném přístupu k informacím přinesly s účinností od ledna 2020 mimo jiné rozšíření působnosti Úřadu pro ochranu osobních údajů („Úřad“) v oblasti práva na informace.

Od ledna 2020 disponuje Úřad pravomocí k přezkumu rozhodnutí nadřízeného orgánu ve věci žádosti o informace. V případě, že povinný subjekt žadatelovu žádost o poskytnutí informace odmítne, může žadatel podat proti takovému rozhodnutí odvolání k nařízenému orgánu, který o něm musí rozhodnout do 15 dnů od jeho doručení povinným subjektem. Rozhodnutí o odvolání (případně rozkladu) je pak oprávněn přezkoumat v přezkumném řízení Úřad. Pokud Úřad dospěje k závěru, že poskytnutí informace povinnou osobou bylo odepřeno nezákonně, rozhodnutí povinné osoby zruší a přikáže jí, aby povinnému subjektu informaci ve stanovené lhůtě poskytla.

V případě, že nadřízený orgán povinného subjektu nebude možné určit (tj. půjde o orgány, kde o odvolání či stížnosti rozhodovala osoba stojící v jejich čele), bude Úřad rozhodovat již o samotném odvolání či stížnosti jako takové.

Cílem zavedení přezkumného řízení je zejména zjednodušit a zefektivnit vyřizování žádostí a řešit je primárně na úrovni povinných subjektů a nadřízených orgánů v rámci správního řízení. Touto úpravou by tak mělo dojít k odstranění obstrukčních možností povinných orgánů ve smyslu oddalování poskytnutí informace až do vydání soudního rozhodnutí, a tedy ke zrychlení celého procesu.

Úřad má rovněž pravomoc přijímat opatření proti nečinnosti nadřízeného orgánu dle správního řádu.

Nově zveřejněné statistiky z činnosti Úřadu pro ochranu osobních údajů

Na konci loňského roku zveřejnil Úřad v návaznosti na žádosti podané ve smyslu zákona o svobodném přístupu k informacím nové statistiky vztahující se k jeho dozorové činnosti.

Dozorová činnost Úřadu v číslech

  • Hlášení případů porušení zabezpečení – Od účinnosti GDPR v květnu 2018 do listopadu 2019 bylo Úřadu nahlášeno více než 600 případů porušení zabezpečení osobních údajů, které správcům ve vybraných situacích GDPR ukládá.
  • Počet uložených pokut – Od účinnosti GDPR do listopadu 2019 Úřad uložil celkem 105 pokut. Ve většině případů se přitom jednalo o pokuty za porušení ještě původního zákona o ochraně osobních údajů. Porušení GDPR Úřad zatím pokutoval pouze v 17 případech.
  • Souhrnná výše uložených pokut – Od účinnosti GDPR Úřad uložil pokuty v souhrnné výši téměř 7,5 milionu Kč.

Finální verze seznamu zpracování, kdy správce nemá povinnost vyhotovovat DPIA

O nově vydané metodice, podle níž má být postupováno v případě, že správce osobních údajů vyhodnocuje, zda má či nemá povinnost vypracování posouzení vlivu na ochranu osobních údajů („DPIA“) a jak DPIA následně vyhotovit, jsme vás informovali již v listopadovém vydání TechLaw zpravodaje. Tato metodika byla do poloviny prosince loňského roku předmětem veřejné diskuse a její finální verze dosud nebyla zveřejněna.

V únoru 2019 Úřad dostál své povinnosti zveřejnit seznam operací zpracování, které povinnosti vypracování DPIA podléhají vždy. Tento dokument byl v lednu 2020 doplněn rovněž o seznam operací zpracování, kdy správce tuto povinnost naopak nemá.

DPIA tak nepodléhá například zpracování spojeným s jednotlivou návštěvou zákazníka na webové stránce správce, a to včetně jeho profilování na základě jeho výběru položek z nabídky zboží, výrobků či služeb nebo zpracování osobních údajů zákazníků na území ČR. Dále se DPIA nevztahuje na zpracování některých osobních údajů zákazníků, která se týkají obchodní činnosti (například prodeje a poskytování služeb včetně newsletterů) a která jsou prováděna v českém jazyce (a pokud neobsahují zvláštní kategorie údajů).

Dánsko jako první země se schválenými standardními smluvními doložkami

Evropský sbor pro ochranu osobních údajů v prosinci zveřejnil konečnou verzi dánské úpravy standardních smluvních doložek („SSD“) pro smlouvy mezi správci osobních údajů a jejich zpracovateli. Dánský dozorový úřad je prvním, který využil možnost vlastní úpravy SSD ve smyslu čl. 28 odst. 8 Obecného nařízení o ochraně osobních údajů (GDPR).

Cílem přijatých SSD je upřesnit podmínky ochrany osobních údajů stanovené čl. 28 odst. 3 a 4 GDPR a usnadnit tak jejich splnění správci a zpracovateli. Jejich využití není pro smluvní strany povinné, nicméně pokud se rozhodnou SSD do smluv o zpracování osobních údajů implementovat, musí tak učinit bez zásahu do jejich znění (mohou pouze doplnit další opatření, která neomezují již zaručenou ochranu práv a svobod). Výhodou tohoto přístupu (tj. užití SSD ve schváleném znění) je, že dánský dozorový úřad nebude jednotlivá ustanovení smluv o zpracování údajů blíže přezkoumávat.

Dánské SSD nad rámec úpravy GDPR stanoví např.:

  • Seznam osob, kterým je povolen přístup k osobním údajům, musí být pravidelně přezkoumáván. Zpracovatel údajů musí prokázat, že se tyto osoby zavázaly k mlčenlivosti.
  • V situaci, kdy správce po provedení vhodných technických opatření k zajištění odpovídající úrovně zabezpečení zjistí, že jsou potřeba opatření další, může po zpracovateli požadovat, jejich implementaci.
  • Správce může zpracovateli stanovit lhůtu k předložení žádosti o konkrétní povolení před zapojením dílčího zpracovatele. Správce si také může vyžádat kopii dohody o využití dílčích zpracovatelů k zajištění stejné úrovně zabezpečení při zpracování údajů.
  • Správce může zpracovateli stanovit lhůtu k oznámení porušení zabezpečení osobních údajů.

Závěrem je třeba zmínit, že se nejedná o standardní smluvní doložky přijaté Komisí. Ty je třeba i nadále použít v případě předání osobních údajů zpracovateli do třetí země, tj. mimo EU.

Za dva roky skončí v Google Chrome podpora pro cookies třetích stran

Dne 14. ledna 2020 Google prostřednictvím blogu oznámil svůj úmysl do dvou let ukončit podporu cookies třetích stran ve svém prohlížeči Chrome.

Dle vyjádření, by tyto cookies měly být nahrazeny nově vyvíjeným otevřeným standardem, který by měl vzejít z Privacy Sandbox iniciativy. Otevřenou otázkou nicméně zůstává, jak bude tento otevřený standard v praxi fungovat a jaký to bude mít dopad do odvětví internetové reklamy. Dle prvních reakcí odborné veřejnosti se očekává zásadní změna obchodních modelů.

TechLaw zpravodaj Ochrana osobních údajů (GDPR)
Technologie  Deloitte živě 

Společnost Greycortex je vlastně takový doktor. Zajišťuje, aby jeho klienti nedostali nemoc z kybernetické nákazy

Co člověk zahesluje, to také odhesluje. Tohle platilo pár let zpátky. Dnes kyberkriminálníci využívají pokročilé technologie, útoky jsou mnohem sofistikovanější. A cílenější. Následky pak také mnohem horší. „Vyvíjí se nejen ta dobrá strana, tedy firmy zabývající se kybernetickou ochranou, ale i ta špatná. Útoky vedou přes slabá místa a lidské chyby,“ říká Petr Chaloupka, CEO společnosti Greycortex, která řeší zabezpečení počítačových a bezpečnostních sítí. Příběh této firmy, která uspěla mezi nejrychleji rostoucími technologickými společnostmi, se začal psát hodně dávno před jejím vznikem. Je o vášni, vizi, dovednostech, ale i pořádné dávce humoru. A vlastně je tak trochu spojen i s počátky komputerizace v Československu. 

2. 12. 2020
Nemovitosti  Právo 

Dopad koronavirové pandemie na nemovitostní trh

Vládní opatření přijatá v souvislosti s druhou vlnou koronavirové pandemie opět omezila fungování řady firem a podnikatelů. Jako jeden z nástrojů pro zmírnění negativních dopadů tohoto omezení schválila vláda program Covid – Nájemné 2, v jehož rámci mohou podnikatelé a firmy žádat o dotaci na komerční nájem. Od první výzvy se liší tím, že již neobsahuje podmínku, aby pronajímatel slevil žadateli minimálně 30 procent nájemného. Za jakých podmínek se tedy může žádat? A jak trh s komerčním nájmem poznamenala současná krize? 

1. 12. 2020
Právo 

Digitalizace a automatizace mají obrovský potenciál a my chceme být v čele pelotonu, říká Jan Spáčil z Deloitte Legal

„V těžkých dobách přestává být inovace pouhou příležitostí a stává se nutností. V programu regenerace pomáháme klientům dívat se dopředu a překlenout složité období. Pochopit, kam nás například přechod do on-line prostředí posunul a jak čerpat z jeho výhod. Digitalizace a automatizace mají obrovský potenciál a my chceme být v čele pelotonu,“ říká Jan Spáčil, vedoucí partner Deloitte Legal Česká republika. V rozhovoru promluvil také o tom, jak se právní byznys přelévá do on-line prostředí, o úzké spolupráci se start-upy v oblasti LegalTech a také o motivaci mladých talentů. 

26. 11. 2020