Osobní údaje

V letošním roce vydal Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) novou metodiku k návrhu a provozování kamerových systémů z hlediska zpracování a ochrany osobních údajů 1) . Tato metodika se samozřejmě musí projevit i při posuzování kamerových systémů v bytových domech. Ostatně metodika obsahuje vzor Balanční test kamerového systému, příklad řešení škod v bytovém domě.

Škola spravuje osobní údaje žáků ve své školní matrice. Součástí školní matriky je i evidence členů spolku Klub přátel a to včetně osobních údajů. Při žádosti Klubu přátel o dotace vyžaduje poskytovatel dotace osobní údaje členů spolku (Jméno, příjmení a rok narození). Musí mít škola speciální souhlas zákonného zástupce o poskytnutí osobních údajů třetí osobě?

Přestože již byl v mnoha obcích bytový fond z větší části zprivatizován, přesto některé byty zůstávají k dispozici obci, které je pronajímají. Bez pochyby při této činnosti dochází ke zpracování velkého rozsahu osobních údajů. Rozsah zpracovávaných osobních údajů je tím větší, čím více podmínek pro přidělení bytu obec stanoví. Obec může pronajímat byty komerčně bez dalších požadavků nebo také může pronajímat tzv. byty zvláštního určení, kde jsou požadavky na sdělení některých informací namístě.

Nejen na přelomu let vycházejí zaměstnavatelé primárně z právní úpravy zdravotního pojištění, dané především zákony č. 592/1992 Sb. , o pojistném na veřejné zdravotní pojištění, a č. 48/1997 Sb. , o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů. Protože však zdravotní pojištění nepůsobí izolovaně, ale je navázáno na další právní předpisy, jsou důležitými například zákon č. 187/2006 Sb. , o nemocenském pojištění, nebo zákon č. 262/2006 Sb. , zákoník práce, všechny zákony ve znění pozdějších předpisů. Na které problémové oblasti zdravotního pojištění by se měli zaměstnavatelé na přelomu let 2023/2024 zaměřit?

Byť zákoník práce stanoví přesná pravidla pro ukončení pracovního poměru, resp. pracovněprávního vztahu, neobsahuje pravidla pro zpracování osobních údajů v této „popracovní“ fázi. Zaměstnavatelé proto často váhají, které dokumenty smí uchovávat a jak dlouho a jak naložit s dokumenty, které nadále součástí osobní složky být nemohou. Zorientovat se zejména ve lhůtách uložení jednotlivých druhů dokumentace není vždy snadné, protože tyto lhůty stanoví různé právní předpisy.

V průběhu roku 2023 stále dochází k velkému množství kybernetických útoků, před kterými Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydává varování. Jak NÚKIB uvádí, počet květnových incidentů (19) se pohyboval vysoko nad průměrem posledních 12 měsíců. Opět dominovaly případy, ve kterých došlo k narušení dostupnosti služeb. Při jednom z květnových incidentů NÚKIB zaznamenal relativně nový trend v chování ransomwarových útočníků. Útočníci data své oběti nezašifrovali, pouze je exfiltrovali a vyhrožovali jejich zveřejněním. Jedná se o tzv. „extortion-only“ přístup. Tyto nové trendy v chování ransomwarových operátorů mění i způsob, jakým by se organizace na ransomware měly připravit.1)

Zavést bezpečnostní opatření a osobní údaje důsledně chránit patří mezi nejdůležitější a základní povinnosti každého správce a zpracovatele. Jak vyplývá ze zkušeností i z judikatury soudů, obecně je možné říct, že ze zpracování osobních údajů za použití výpočetní techniky plynou vyšší rizika úniku osobních údajů, jejich neoprávněné změny, zničení, ztráty, zpracování či jiného zneužití. Je tomu proto, že výpočetní technika umožňuje rychlé a detailní zpracování velkého množství dat. Odpovědnost správce není limitována tím, že používá informační systém od dodavatele. Naopak využíváním takového systému přebírá odpovědnost i za něj.

Dne 13. 5. 2021 zveřejnil Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) souhrnný materiál k prokazování totožnosti a zpracování osobních údajů. Na dvanácti stranách je možné nalézt odpovědi např. na otázky komu, kdy a jakým způsobem musí člověk prokazovat svou totožnost, jaké osobní údaje přitom mohou být zaznamenány, kdo je oprávněn pořídit kopii průkazu totožnosti… ÚOOÚ již v minulosti publikoval několik stanovisek, kde se vyjadřoval k nakládání s průkazy totožnosti a s možností pořizování fotokopií. Právní předpisy, které upravují tuto oblast, se zásadně nezměnily, pravidla jsou však neustále porušována, a to zejména soukromým sektorem. Pochybení však vznikají i při činnosti obcí.

Cloud computing je velmi často využívaná služba, která uživateli umožňuje využívat servery s větším výpočetním výkonem a úložný prostor na internetu. V rámci cloud computingu dochází k poskytování sdílených IT prostředí formou služby dostupné obvykle pomocí zabezpečeného přístupu přes internet apod. Bez této služby se dnes obejde jen málokdo; úřady, města či obce mezi takové uživatele obvykle nepatří. Zvažuje-li úřad, město či obec využívání služeb cloud computingu, je nutné pečlivě zvážit všechny parametry smlouvy, včetně bezpečnostních požadavků.

Cílem tohoto příspěvku je vyjasnění oprávnění zaměstnavatele, který je dle § 38c zákona č. 586/1992 Sb., o daních z příjmu, v platném znění (dále jen "ZDP"), v postavení plátce...

Otázka postavení správce a zpracovatele podle Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Obecné nařízení“, je v praxi řešeno velmi často. Z jednoznačného určení pozic v rámci ochrany osobních údajů vyplývá plnění dalších povinností, které vyplývají z Obecného nařízení, dále vzájemné vztahy odpovědnosti, možnost udílet pokyny a v neposlední řadě i podoba smluvního vztahu a obsah smlouvy. Obvykle nebývá příliš komplikované definovat, kdo v daném vztahu je správce a kdo zpracovatel, či zda se jedná o vztah dvou správců. Oblast, kde se otázky objevují opakovaně, je oblast IT. Dodavatele služeb v oblasti IT využívá téměř každý napříč obory v soukromé i veřejné sféře, a to včetně obcí a jejich příspěvkových organizací. Mezi správcem a zpracovatelem musí být uzavřena smlouva, jejíž parametry jsou poměrně podrobně stanoveny v Obecném nařízení. Rozpoznání jednotlivých úloh je proto klíčové nejen pro správné nastavení smluvního vztahu, ale i pro nastavení odpovědnosti. Z praxe vyplývá, že dodavatel, byť je v pozici zpracovatele, se sám k odpovědnosti nehlásí, a je třeba podmínky zakotvit ve smlouvě.

Dne 25. 5. 2019 uplynul rok od nabytí účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) [dále také „obecné nařízení“ nebo „GDPR “]. V předkládaném článku chceme popsat zásadní novinky, které přineslo GDPR , a to včetně jejich implementace v praxi. Vycházet přitom budeme především z vlastní zkušenosti s implementací obecného nařízení v prostředí územního samosprávného celku (kraje) a také u příspěvkových organizací tímto celkem zřízeným.

Zákon č. 500/2004 Sb. , správní řád, ve znění pozdějších předpisů (dále jen „správní řád “), ukládá ve svém ustanovení § 26 odst. 1 všem správním orgánům povinnost zřídit nepřetržitě veřejně přístupnou úřední desku. Úřední deska slouží k vyvěšování dokumentů, u nichž tak stanoví zákon, plní nezastupitelnou roli při doručování, ale také při dobrovolném zveřejňování dokumentů, které mají napomoci informovat o dění v obci.

Otázka týkající se právní úpravy povinnosti mlčenlivosti zastupitelů bývá vznášena poměrně často, neboť ti s odkazem na veřejnost jednání zastupitelstva a na nutnost jednat transparentně často zveřejňují informace získané v souvislosti s výkonem funkce zastupitele, a to zejména na sociálních sítích.

V májovém čísle měsíčníku opět přinášíme úvodník s výběrem novinek a užitečných informací, se kterými se setkáváme v naší praxi. V prvním příspěvku se budeme stručně zabývat tzv. adaptačním zákonem, který vstupuje v účinnost prakticky po roce od účinnosti Obecného nařízení na ochranu osobních údajů (GDPR ). Dále bychom chtěli zmínit novou interpretaci Národní účetní rady a ve stručnosti informace, které byly publikovány na webu Finanční správy ČR v souvislosti s přijetím novel daňových zákonů.

Jedním ze základních stavebních kamenů zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), známého pod zkratkou GDPR, je zásada omezení uložení osobních údajů. Tento článek rozebere tuto zásadu podrobněji.

Ve Sbírce zákonů byla dne 5. 6. 2018 v částce 48 pod číslem 94/2018 Sb. publikována již další, v nekonečné řadě, novela zákona č. 280/2009 Sb. , daňový řád, ve znění pozdějších předpisů (dále jen „daňový řád “), a téhož dne nabyla účinnosti. Nynější novela daňového řádu se zaměřuje na rozšíření přístupu daňových orgánů k informacím potřebným pro boj proti praní špinavých peněz. Podle důvodové zprávy cílem úpravy daňového řádu je zefektivnění boje s daňovými úniky. Novelizací se do právního řádu České republiky transponuje Směrnice EU upravující přístup daňových orgánů k informacím pro boj proti praní špinavých peněz „DAC 5“ ze dne 6. 12. 2015.

Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR “), standardizuje od 25. 5. 2018 ochranu osobních dat občanů. Jak můžeme v některých aspektech nahlížet na dopady této nadnárodní právní úpravy do podmínek platných ve zdravotním pojištění?

Pojednání na téma povinností zaměstnavatele vůči zaměstnancům v rámci GDPR, tedy „Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)“, bylo zahájeno v minulém čísle časopisu DHK č. 12-13 na s. 54 z pohledu principu zákonnosti a transparentnosti. Podívejme se nyní konkrétněji na některé situace, k nimž v zaměstnání běžně dochází a jakým způsobem je řešit.

Dne 25. května roku 2018 vstoupilo v účinnost „Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)“, které je v českém prostředí známé pod svou anglickou zkratkou jako „GDPR“ (dále v textu jen „nařízení“ či „GDPR“). V tomto článku se podíváme, jakým způsobem se nařízení dotkne zaměstnavatelů ve vztahu ke svým zaměstnancům, a to vzhledem k zásadě transparentnosti a zákonnosti.