Rozhodovací praxe Úřadu na ochranu osobních údajů

+           Zpracování kamerovým systémem


Bytové družstvo PODROUŽKOVA 1684 instalovalo v prostorách bytového domu kamerový systém. Kontrola ÚOOÚ zjistila porušení čl. 13 GDPR, podle kterého mělo bytové družstvo jako správce povinnost subjekty údajů informovat o tom, v jakém rozsahu a pro jaký účel budou jejich osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí dále subjekt údajů informovat o jeho právu na přístup k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených GDPR.

Ačkoli bytové družstvo provozovalo kamerový systém se záznamem, o této skutečnosti dostatečně neinformovalo subjekty údajů. U správců, kteří zpracovávají osobní údaje subjektů údajů mj. za pomoci kamerových systémů informovat, je nutné tyto subjekty údajů o takové činnosti zpracování informovat řádně.

 

+           Riziko umístění osobních údajů na USB flash discích


Nálezce jako stěžovatel nalezl u obchodního domu ztracený flash disk, který obsahoval 760 smluv s vyplněnými osobními údaji zákazníků jisté společnosti s ručením omezeným. Nebylo však možné prokázat, komu nalezený flash disk patřil. Vzhledem k tomu, že nebylo možno vyloučit podezření na spáchání trestného činu, společnost se jako kontrolovaná osoba obrátila na orgány činné v trestním řízení, protože stěžovatel podle ní disponuje více soubory, než tvrdil a předložil, neboť v souboru 760 smluv nebyly nalezeny smlouvy, které prezentoval ve svém podnětu jako ty, které nalezl. V návaznosti na uvedená zjištění Úřad ukončil kontrolu s tím, že může být zahájena další kontrola poté, kdy ukončí vyšetřování Policie České republiky. Bezpečnost přenosných zařízení je tedy nutné nepodceňovat.

 

+           Včasná náprava závadného stavu


Jak dokazuje následující případ, pokud správce včas odstraní závadný stav, který odporuje platnému znění GDPR, může se tím vyhnout udělení sankce ze strany ÚOOÚ.

V tomto případě ÚOOÚ provedl kontrolu společnosti UNIQA pojišťovna, a.s. jejímž předmětem bylo dodržování jejích povinností jako správce osobních údajů při zpracování osobních údajů klientů a žadatelů o uzavření smlouvy s ní, se zaměřením na právo subjektu údajů na přístup k osobním údajům dle čl. 15 GDPR. Podle čl. 15 má subjekt údajů právo na potvrzení od správce ve formě kopie o tom, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud jsou, potom má přístup k v článku vymezenému okruhu osobních údajů a informací. Kontrolou bylo zjištěno, že společnost UNIQA pojišťovna, a. s. neposkytla stěžovateli informace o zpracování jeho osobních údajů a jejich poskytnutí podmiňovala neoprávněnou podmínkou podání žádosti s ověřeným podpisem žadatele, čímž došlo k porušení čl. 15. Společnost však tento závadný stav včas napravila, pročež ÚOOÚ upustil od uložení pokuty.


+           Způsob získávání souhlasu se zpracováním osobních údajů

 

Ve sledovaném případě společnost O2 Czech Republic, a.s. zpracovávala osobní údaje zákazníků na základě uděleného souhlasu pro zajištění fungování elektronické aplikace „Moje O2“. Společnost připravila a svým klientům předložila nový souhlas pro období od účinnosti GDPR. Souhlasy podle tohoto nařízení získávala již od února 2018. Vznikla tedy situace, kdy někteří klienti udělili dva souhlasy, což pro ně bylo matoucí. Když se klienti rozhodli souhlas odvolat, společnost je informovala, že souhlas dle GDPR lze odvolat až s jeho účinností, tedy po 25. květnu 2018. Úřad tento výklad vyhodnotil jako chybný s tím, že souhlas má subjekt údajů právo odvolat kdykoli.

 

+           Závažnost zásahu do práv subjektu údajů  


Společnost Úspěch Online s.r.o. provozovala internetové stránky www.insolvencni-rejstrik.cz a pro jejich provoz zpracovávala osobní údaje obsažené v insolvenčním rejstříku. ÚOOÚ na základě provedené kontroly zjistil, že společnost neměla k takovému zpracování právní titul. Závažnost zásahu do práv subjektů údajů byla zvýšena tím, že společnost nevyužívala nástroje, kterými by zamezila indexování provozovaných webových stránek. Informace o insolvenci tak byly jednoduše dostupné prostřednictvím internetových vyhledávačů. Společnost navíc ani nevyhověla žádosti subjektu údajů o výmaz osobních údajů dle čl. 17 GDPR.

Z toho důvodu se společnost Úspěch Online s.r.o. dopustila porušení čl. 6 a 17 GDPR.

Protože společnost poté závadný stav neprodleně napravila, ÚOOÚ upustil od uložení opatření k nápravě.

 

+           Zneužití osobních údajů bývalým zaměstnancem


ÚOOÚ provedl kontrolu společnosti SRBA SERVIS s.r.o., jejímž předmětem byla skutečnost, že bývalý zaměstnanec společnosti jako kontrolované osoby rozeslal (jménem nového zaměstnavatele) hromadné obchodní sdělení více než 650 zákazníkům kontrolované osoby (jeho bývalého zaměstnavatele). Tyto osobní údaje si bývalý zaměstnanec ponechal po ukončení svého pracovního poměru v rozporu s interními předpisy kontrolované osoby. Zneužití osobních údajů zákazníků ÚOOÚ vyhodnotil jako ojedinělý incident, kterému přes přijatá opatření kontrolovaná osoba nemohla zabránit. Kontrolovaná osoba poté, co zjistila, že došlo ke zneužití osobních údajů zákazníků, přijala opatření směřující k tomu, aby k dalšímu zneužití nedošlo a současně ohlásila porušení zabezpečení osobních údajů Úřadu, čímž splnila požadavky čl. 33 nařízení (EU) 2016/679.

 

+           Pokuta za nezabezpečení osobních údajů


ÚOOÚ uložil pokutu ve výši 1,5 milionu Kč společnosti Internet Mall, a.s., protože společnost nezabezpečila osobní údaje nejméně 735 tisíců zákazníků (v rozsahu jméno, příjmení, e-mail, telefon a uživatelské heslo) a to v období minimálně od 31. 12. 2014 do srpna 2017. Podle zjištění Úřadu došlo k odcizení části databáze záznamů o zákaznících Internet Mall, a.s. Společnost navíc nezjistila ani v průběhu času, ani na základě jí deklarované aktualizace přijatých opatření, jak k uvedenému úniku dat došlo. Tím společnost porušila povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů podle zákona o ochraně osobních údajů. Navíc ode dne platnosti GDPR jsou správci povinni v případech porušení zabezpečení osobních údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozví, ohlásit porušení dozorovému úřadu.

 

V případě konkrétních dotazů se na nás neváhejte obrátit.

 

O dalších novinkách ze závěrů kontrol ÚOOÚ Vás budeme informovat.