Předem zaškrtnuté políčko nestačí
Soudní dvůr Evropské unie (SDEU) rozhodl, že uživatel při prohlížení webových stránek neudělil platně souhlas se zpracováním cookies, pokud na svém zařízení pouze „souhlasil“ s předem zaškrtnutým políčkem obsahujícím informaci o souhlasu se zpracováním cookies uživatele (zaškrtnutí by uživatel musel zrušit, pokud by chtěl souhlas odmítnout).
SDEU zdůraznil, že souhlas se zpracováním cookies může být udělen jakýmkoli vhodným způsobem, který zajistí, že souhlas bude svobodně poskytnutým, zvláštním, výslovným a informovaným projevem vůle uživatele. V konkrétním projednávaném případě se jednalo o to, že uživatel aktivoval tlačítko pro účast na reklamní loterii a tímto způsobem udělil souhlas se zpracováním cookies. V této souvislosti SDEU rozhodl, že se nejedná o výslovně udělený souhlas, protože uživatel primárně souhlasil s něčím jiným než je zpracování cookies.
Kromě toho SDEU uvedl, že mezi informacemi, které poskytovatel služby musí poskytnout uživateli webových stránek, musí být zahrnuta doba funkčnosti cookies, jakož i informace o možnosti přístupu třetích osob k těmto souborům.
Závěry výše uvedeného judikátu nejsou nové – tyto závěry již dříve prezentoval ve svých stanoviscích Evropský sbor pro ochranu osobních údajů. Stanoviska však nejsou formálně právně závazná, ačkoliv jsou standardně používána jako interpretační zdroj v případě výkladu této problematiky. Judikát SDEU tak vyplňuje určitou právní mezeru za situace, kdy stále není dokončen návrh nové evropské právní úpravy o e-privacy a zároveň potvrzuje, že také v oblasti internetu se plně uplatní principy a přístupy GDPR.
Neoficiální překlad rozsudku naleznete zde.
Nový formulář pro ohlášení porušení zabezpečení osobních údajů dle GDPR
Úřad pro ochranu osobních údajů na svých webových stránkách zveřejnil formulář pro ohlášení porušení zabezpečení osobních údajů dle GDPR. Jeho obsah Vám může pomoci dát dohromady potřebné informace o porušení zabezpečení osobních údajů i v případech, kdy se rozhodnete je nehlásit Úřadu.
Formulář je k dispozici zde.
Používání technologie FaceID na stavbě z pohledu ochrany osobních údajů
Úřad pro ochranu osobních údajů provedl v rámci své kontrolní činnosti v roce 2018 kontrolu, jejímž předmětem bylo zpracování osobních údajů v souvislosti s používáním technologie rozpoznání obličeje („Face ID“), a to k identifikaci pracovníků přítomných na stavbě (jednalo se o stavební společnost). Face ID je docházkovým systémem umožňujícím zaznamenat čas příchodu a odchodu jednotlivých osob na stavbu, a to na základě rozpoznání obličeje. Jejím užíváním tak dochází k zpracovávání zvláštní kategorie údajů – biometrických údajů.
Úřad shledal použití FaceID v tomto případě opodstatněným, když právním základem bylo dle správce plnění právní povinnosti (konkrétně plnění právní povinnosti v oblasti pracovního práva). Úřad zároveň uvedl, že se v dané věci se jednalo o zcela specifický případ, kdy kontrolovaná osoba byla schopná prokázat, že zpracování biometrických údajů je nezbytné k zajištění bezpečnosti na rozsáhlém staveništi. Kontrolovaná osoba přitom nebyla tohoto souladu schopná dosáhnout jinými, méně invazivními prostředky, resp. dříve použité méně invazivní prostředky se ukázaly jako neúčinné. Úřad však také upozornil na to, že za běžných okolností se zaměstnavatelé při zpracování biometrických údajů nemohou tohoto právního titulu dovolávat.
I s ohledem na výše uvedené se domníváme, že se jedná o ojedinělý a specifický případ, neboť zmíněná technologie představuje i v souladu s předchozími názory WP 29 invazivní zásah do soukromí sledovaných subjektů. Nelze tedy dle našeho názoru jakkoliv dovozovat pravidlo, že lze použít technologii FaceID (či jiné obdobné technologie) na základě plnění právní povinnosti jakožto právního titulu pro zpracování osobních údajů. Obecně totiž existují jiné a méně invazivní způsoby (např. provoz recepce, vrátnice, kartáčkové systémy, turnikety atp.), kterými lze zajistit bezpečnost na pracovišti.
Informace k provedené kontrole jsou dostupné na stránkách ÚOOÚ zde: https://bit.ly/2ocJhPN
HR News č. 4/ září 2019
V průběhu léta nabyla mimo jiné účinnosti dlouho projednávaná novela zákona o pobytu cizinců na území České republiky, která s sebou nese i změnu zákona o zaměstnanosti. Vzhledem k poměrně divokému legislativnímu procesu, který tuto novelu potkal a řadě poslaneckých zásahů je tak na místě si v novém vydání HR News zrekapitulovat změny, které tato novela přinesla.
Ani osm dní neomluvené absence nemusí ospravedlňovat okamžité zrušení
pravniprostor.cz/ Michal Peškar se ve svém článku zabýval zajímavým sporem o platnost okamžitého zrušení pracovního poměru za déletrvající neomluvenou absenci, který skončil u Ústavního soudu. Toto rozhodnutí pak nabývá na zajímavosti ve srovnání se staršími rozhodnutími Nejvyššího soudu a obecným povědomím laické i odborné veřejnosti. V řešeném případě dal Ústavní soud za pravdu obecným soudům a seznal, že bylo soudy správně přihlédnuto ke všem okolnostem a že ani 8 dní neomluvené absence neospravedlňovalo dání okamžitého zrušení. V každém případě porušení povinností je nutné zkoumat všechny relevantní skutečnosti, vážit je a vyhodnocovat. Nelze proto jen otrocky přijmout obecné pravidlo, že 5 a více dní neomluvené absence se rovná zvlášť závažné porušení povinností a okamžité zrušení pracovního poměru.
Nová směrnice o ochraně oznamovatelů protiprávního jednání (tzv. whistleblowerů)
Evropský parlament je aktuálně ve finální fázi procesu schvalování nové směrnice o ochraně oznamovatelů protiprávního jednání (tzv. whistleblowerů). Ta by měla být přijata na podzim tohoto roku a jejím cílem by mělo být sjednocení pravidel pro ochranu whistleblowerů napříč členskými státy EU. Návrh směrnice hodlá poskytovat ochranu oznamovatelům, kteří oznámí protiprávní činnost zaměstnavatele či spolupracující společnosti (dodavatele/odběratele), a to zejména v oblasti veřejných zakázek, finančních služeb, předcházení praní špinavých peněz a financování terorismu, bezpečnosti výrobků, dopravy, ochrany životního prostředí, ochrany spotřebitele, veřejného zdraví.
Oznamovatelem, kterému má být směrnicí poskytnuta dle směrnice ochrana, může být nejen zaměstnanec, ale také OSVČ a další osoby vymezené ve směrnici.
Jednou z povinností by mělo být také zavedení tzv. kanálů pro oznamovatele, prostřednictvím kterých by osoby mohly pro ně bezpečným způsobem oznámit protiprávní jednání. Tato povinnost se pak má vztahovat mj. na společnosti s více než 50 zaměstnanci, společnosti působící v oblasti finančních služeb a společnosti s ročním obratem přes 10 milionů EUR.
Text návrhu směrnice je dostupný zde: https://bit.ly/2mlP84t
Ministerstvo zdravotnictví chystá návrh nové regulace reklamy na alkohol
Ministerstvo zdravotnictví se rozhodlo bojovat se vysokou spotřebou alkoholu a cigaret. Vypracovalo proto návrh na zvýšení spotřební daně u lihu o 13 %, u cigaret o 10 % a je připravován návrh zákonné regulace reklamy na alkohol. Ten by měl být dokončen do konce tohoto roku a následně předložen ke schválení. Nová regulace reklamy by se měla týkat jak televize, tak digitálních médií.
Více zde: https://bit.ly/2m87iqh
Lze započíst pohledávku zaměstnavatele na náhradu škody vůči mzdě? – sp. zn. 21 Cdo 238/2019
Zaměstnanec vykonával pro zaměstnavatele práci na pozici servisního technika, při které měl zaměstnavateli způsobit škodu ve výši několika tisíc Kč. Zaměstnanec svoji vinu odmítal a brojil i proti výši škody. Zaměstnavatel se následně rozhodl náhradu škody započíst vůči mzdě zaměstnance a zaměstnanci vyplatil pouze zbývající část mzdy. Zaměstnanec se vůči tomuto postupu ohradil a vyzval zaměstnavatele k úhradě dlužné mzdy. Zaměstnavatel jej však odmítl, pročež s ním zaměstnanec okamžitě zrušil svůj pracovní poměr pro nevyplacení části mzdy dle § 56 odst. 1 písm. b) zákoníku práce. Soudy žalobu zaměstnavatele na určení neplatnosti okamžitého zrušení zamítly. Nejvyšší soud upozornil, že obecně lze za určitých podmínek započíst pohledávku proti mzdě zaměstnance, v případě náhrady škody tak lze však učinit pouze na základě dohody o srážkách ze mzdy, která v tomto případě sjednána nebyla. Zaměstnavatel nyní ve věci podal ústavní stížnost.
Rozhodnutí dostupné zde
Nové stanovisko ÚOOÚ týkající se face recognition (rozpoznávání obličejů) na fotbalových stadionech
ÚOOU zveřejnil nové stanovisko týkající se možnosti identifikace a zamezení vstupu nežádoucím osobám na fotbalové stadiony. Jde o velmi aktuální téma, kdy cílem je předcházet příčině problému, která tkví v samotném vpuštění problémových osob na utkání, namísto toho, aby se řešil pouze následek v podobě porušení bezpečnostních a jiných předpisů na stadionu. Jedním z možných řešení je také použití technologie rozpoznávání obličejů (tzv. face recognition).
Úřad nicméně ve svém stanovisku shledal, že použití rozpoznávání obličejů je zpracováním zvláštní kategorie osobních údajů – biometrických údajů za účelem jedinečné identifikace fyzické osoby, a jako takové se řídí čl. 9 GDPR. I přes významný veřejný zájem, musí být takové zpracování prováděno na základě výslovného zákonného zmocnění, musí být přiměřené sledovanému cíli, dodržovat podstatu práva na ochranu údajů a poskytovat vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů. Z platných zákonů, o jejichž aplikaci lze v tomto případě uvažovat (zákon o podpoře sportu, zákon o zpracování osobních údajů), však takový dostatečný právní důvod neplyne, a technologii rozpoznávání obličejů tedy v takovém případě nelze použít.
Pro případné použití tedy bude zřejmě třeba upravit stávající zákony tak, aby umožnily použití této bezpečnostní technologie. Zároveň lze z tohoto stanoviska také dovodit, že oprávněnost případného použití technologie rozpoznávání obličejů v jiných situacích bude velmi obtížné.
Více informací najdete přímo na stránkách Úřadu zde: https://bit.ly/2TKoUoI
První instance soudní pře mezi Alza.cz a Heureka.cz ve prospěch Heureky
Městský soud v Praze jako prvoinstanční soud uložil společnosti Alza.cz, která je jedničkou na trhu e-commerce, aby se omluvila společnosti Heureka.cz, nejznámějšímu srovnávači cen a produktů na českém internetu. Důvodem bylo tvrzení, že Heureka je pro internetové obchody riziková či nevýhodná. Alza toto tvrzení již nesmí dále uvádět a musí se také vzdát domény Bezheureky.cz. Rozhodnutí nicméně ještě není pravomocné, protože se proti němu Alza odvolala.
Jedná se o další kapitolu společné historie obou společností. Alza v roce 2016 z Heureky odešla v návaznosti na akvizici Heureky (a také dalšího e-shopu Mall.cz) skupinou Rockaway. Alza to tehdy odůvodnila tím, že Heureka již nadále není nezávislým srovnávačem, neboť Rockaway vlastní také e-shop Mall.cz, který je přímým konkurentem Alzy. Zároveň vyzvala i další e-shopy, aby z Heureky odešly. Pro tyto ostatní e-shopy však jde vskutku o složitou volbu – na jedné straně pro ně spolupráce s Heurekou představuje významný zdroj obratu a nových zákazníků (zejména pro ty ne tak známé), na druhé straně se tím vzdávají určité části své marže ve prospěch Heureky.
Více zde: https://bit.ly/2P3UDTm
První pokuty ve Velké Británii za reklamy obsahující genderové stereotypy
Od 14. června letošního roku platí ve Velké Británii zákaz reklam obsahujících genderové stereotypy, které mohou někoho poškodit nebo vyvolat závažné a všeobecné pohoršení.
Před několika dny pak britský úřad pro dohled nad reklamou (ASA) potrestal první viníky, kteří se prohřešili proti novým pravidlům. Jedná se o dva velmi známé nadnárodní podniky – Volkswagen (reklama na elektrický automobil) a Mondelez (reklama na sýr).
Bližší podrobnosti na stránkách BBC zde: https://urlzs.com/qhxiw
Tlačítko „Like“ → správce osobních údajů?
Používáte na svých webových stránkách tlačítko „like“ od Facebooku? Pak se musíte mít na pozoru – podle rozhodnutí Soudního dvora Evropské unie máte rovněž odpovědnost za to, aby tyto údaje o uživatelích byly řádně zpracovávány v souladu s právními předpisy. Daný plug-in totiž sbírá pro Facebook osobní údaje o návštěvnících Vašich webových stránek bez ohledu na to, zda na daný „like“ kliknou. Z tohoto důvodu jste společně s Facebookem společnými správci a je nezbytné s tímto počítat např. i v informaci o zpracování osobních údajů.
Více informací naleznete zde: https://urlzs.com/SekTf
Nesprávné použití souhlasu v pracovněprávních vztazích
Řecký úřad udělil zaměstnavateli pokutu za nezákonné zpracování osobních údajů zaměstnanců ve výši 150.000 EUR, a to z důvodu, že zpracovával osobní údaje zaměstnanců nezákonně a netransparentně. Vyžadoval totiž od zaměstnanců souhlas se zpracováním jejich osobních údajů, a to i v případech, kdy se použily jiné právní tituly zpracování (plnění zákonných povinností, plnění smlouvy či oprávněný zájem zaměstnavatele).
Využití souhlasu je přitom v pracovněprávních vztazích velice problematické, a to s ohledem na nerovné a podřízené postavení zaměstnance vůči zaměstnavateli. Z tohoto důvodu je nezbytné vždy důsledně analyzovat, jaký právní titul se pro dané zpracování použije a na samotný souhlas se spoléhat pouze výjimečně!
Novela zákona o ochraně spotřebitele
Ve Sbírce zákonů byla nedávno zveřejněna novela zákona o ochraně spotřebitele. Předmětem novely byla implementace evropského nařízení týkajícího se neoprávněného zeměpisného blokování.
Novela doplnila do zákona o ochraně spotřebitele zejména sankci za zakázané diskriminační praktiky v rámci elektronicky poskytovaných služeb (nově upravené zmíněným nařízením) a taktéž svěřila dozorčí pravomoci příslušným českým úřadům (Evropskému spotřebitelskému centru České republiky, Energetickému regulačnímu úřadu a zejména České obchodní inspekci). Mezi výše zmíněné zakázané praktiky patří:
- blokování přístupu na webové rozhraní poskytovatele;
- automatické přesměrování zákazníků z verze určené pro jednu zemi na jinou verzi webového rozhraní;
- odmítnutí prodeje zboží či uplatňování odlišných podmínek v situaci, kdy dotčené zboží není doručováno do členského státu zákazníka;
- odmítnutí poskytnutí služby či uplatňování odlišných podmínek u služeb s elektronickým obsahem; a
- odmítnutí poskytnutí služby či uplatňování odlišných podmínek, je-li služba poskytována v provozovně obchodníka či v místě, kde obchodník působí.
Prodávajícímu, který takovýto zákaz poruší, může hrozit pokuta za přestupek až do výše tří milionů korun.
Bližší informace naleznete ve Sbírce zákonů (https://urlzs.com/TzKqn) a na stránkách EUR-Lex (https://urlzs.com/iMTJ6).
ÚOOÚ připomínkoval novelu zákoníku práce z pohledu zpracování biometrických údajů zaměstnanců
Zpracováváte biometrické údaje zaměstnanců (např. otisky prstů) a nevíte si s nimi po účinnosti GDPR rady? ÚOOÚ připravil připomínku k novele zákoníku práce, která má upravit nezbytné zpracování biometrických osobních údajů zaměstnanců pro účely ochrany výrobních a pracovních prostředků a pro kontrolu vstupu do objektů. Na finální verzi si sice budeme muset ještě počkat, nicméně i tato připomínka představuje krok kupředu!
Více informací k dané připomínce naleznete na webových stránkách ÚOOÚ zde: https://urlzs.com/RPHxq
Zjednodušení procesu likvidace právnických osob
Ministerstvo spravedlnosti zjednodušilo proces likvidace právnických osob, které již nebudou muset oznamovat vstup do likvidace a výzvu věřitelům dvakrát po sobě v Obchodním věstníku. V případě právnických osob zapisovaných do jiného než obchodního rejstříku (např. spolky) bude povinnost zveřejnění oznámení vstupu do likvidace (a výzvy věřitelům) možné splnit oznámením pouze ve veřejném rejstříku po dobu nejméně 3 měsíců a dvou týdnů.
V případě obchodních korporací je pak ponechána povinnost alespoň jednoho zveřejnění vstupu do likvidace v Obchodním věstníku.
Novela nařízení Ministerstva spravedlnosti o Obchodním věstníku nabývá účinnosti 1. srpna 2019.
Sledujte nás na Facebooku