GDPR

Minulý týden jsme vás informovali v článku „Nová působnost Úřadu dle InfoZákona“, že se s účinností od 2. ledna 2020 Úřad pro ochranu osobních údajů stává nadřízeným orgánem některých povinných subjektů. Tuto zprávu dnes Úřad rozšířil o další podrobné informace. 

Úřad pro ochranu osobních údajů dlouhodobě eviduje velké množství stížností na zasílání nevyžádaných obchodních sdělení tzv. třetí stranou. Známe to všichni, do naší emailové schránky dorazí obchodních sdělení, mnohdy i několik obchodních sdělení týdně, aniž bychom si vybavili, co to je za firmu a zda jsme jí dali své kontakty a souhlas.

Úřad pro ochranu osobních údajů zveřejnil informaci pro povinné subjekty o tom, že od 2. ledna 2020 bude dle ustanovení § 20 odst. 5 zákona č. 106/1999 Sb., o svobodném přístupu k informacím („Informační zákon“), nadřízeným (odvolacím) orgánem některých povinných subjektů. 

Úřad pro ochranu osobních údajů odpovídal na dotazy k porušení zabezpečení osobních údajů. Dozvíte se například to, zda může obec III. typu (ORP) oznámit porušení zabezpečení subjektům údajů zveřejněním na úřední desce anebo zda je třeba ohlásit dozorovému úřadu ztrátu či odcizení listovních zásilek při jejich doručování držitelem poštovní licence.

Osoby, které upozorní na porušování zákona nebo veřejného zájmu, by měly v Evropské unii požívat vyšší ochrany před případnými odvetnými opatřeními svých zaměstnavatelů. Směrnici, kterou na jaře schválil Evropský parlament a na počátku října t.r. potvrdili ministři spravedlnosti států, vstoupí v platnost 20. den po vyhlášení v Ústředním věstníku Evropské unie. Od tohoto data mají členské státy EU dva roky na začlenění nových pravidel do svých právních předpisů.

Děti zasluhují vyšší míru ochrany, jelikož si mohou být méně vědomy rizik, důsledků, záruk a svých práv v souvislosti se zpracováním osobních údajů. Proto obecné nařízení GDPR vytváří další vrstvu ochrany, pokud jsou zpracovávány osobní údaje dětí. Ta se vztahuje zejména na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních či uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem.

Poté, co nabylo účinnosti obecné nařízení GDPR, zmapoval Úřad pro ochranu osobních údajů nejdůležitější oblasti, ve kterých poskytují právní základ zpracování osobních údajů právní předpisy. Tento výčet konkrétních právních předpisů (včetně příslušného § zákona) byl zveřejněn rovněž i na webu SMO ČR a nyní zveřejňujeme jeho aktualizovanou verzi, kterou naleznete na webu ÚOOÚ zde.

Úřad pro ochranu osobních údajů předložil k veřejné diskuzi návrh metodiky obecného posouzení vlivu na ochranu osobních údajů (DPIA). Posouzení dopadů na ochranu osobních údajů musí podle GDPR provádět správce, jehož záměr související se zpracováním osobních údajů může být z hlediska zásahu do práv a svobod fyzických osob vysoce rizikový.

Pražský magistrát v pátek 11. října 2019 navštívilo zhruba 130 účastníků, aby se dozvěděli zkušenosti z aplikace obecného nařízení GDPR v praxi měst a obcí po roce a půl jeho účinnosti. Akci pořádal Svaz měst a obcí České republiky ve spolupráci s Úřadem pro ochranu osobních údajů v rámci projektu Centra společných služeb (CSS).

Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách Metodickou příručku ke kodexům chování. V červnu t.r. Evropský sbor pro ochranu osobních údajů přijal Pokyny 1/2019 týkající se kodexů chování a subjektů pro monitorování podle nařízení 2016/679 a tato metodická příručka na ně reaguje.