PŘEHLED K PROBLEMATICE OSOBNÍCH ÚDAJŮ

Z kontrolní činnosti ÚOOÚ


+     Vyžadování souhlasu se zpracováním osobních údajů


Když médii proběhla zpráva o porušení zabezpečení a následném úniku osobních údajů zpracovávaných společností STEM/MARK, a.s., dala předsedkyně ÚOOÚ podnět k provedení kontroly. Předmětem činnosti společnosti STEM/MARK, a.s. je provádění marketingového výzkumu a analýza dat získávaných zejm. z veřejně dostupných zdrojů (veřejných rejstříků či telefonních seznamů) nebo přímo od osoby dotazované v rámci průzkumu. Kontrola zjistila, že společnost STEM/MARK, a.s. byla oslovena s nabídkou databáze kontaktních údajů, kterou následně zakoupila. Následně byla policií vyrozuměna, že jí zakoupená databáze byla pravděpodobně odcizena telefonnímu operátorovi. Společnost pak databázi policii odevzdala. Databáze obsahovala zhruba 2 000 zákazníků telefonního operátora a dále osobní údaje asi 81 000 zákazníků společnosti STEM/MARK, a.s. (v rozsahu jméno, příjmení, telefonní číslo, apod.). V návaznosti na zjištění policie pak ÚOOÚ udělil kontrolované společnosti pokutu ve výši 400 000 Kč za to, že neměla právní titul pro zpracování osobních údajů, které byly součástí jí zakoupené databáze. ÚOOÚ v té souvislosti poukazuje na skutečnost, že prodej a koupě databází s osobními údaji z neznámých zdrojů je nelegální, a proto, pokud někdo obdobnou nabídku dostane, měl by ji odmítnout a věc ohlásit Policii ČR, eventuálně ÚOOÚ.


+     Předávání dokumentů obsahujících osobní údaje


Na základě stížnosti provedl ÚOOÚ kontrolu, jejímž předmětem bylo zabezpečení osobních údajů při jejich zpracování posudkovou komisí OSSZ v Českých Budějovicích při posuzování stupně invalidity. Úřad zjistil, že došlo k zpřístupnění stěžovatelova posudku o zdravotním stavu, který obsahoval osobní a citlivé údaje, neoprávněné osobě. Došlo k tomu tím, že posudkový lékař (seznámený s vnitřními předpisy) omylem předal stěžovatelův posudek jinému klientovi OSSZ. Ve věci vykonala vlastní šetření i sama ČSSZ a dotyčného lékaře potrestala udělením výtky a snížením odměny a dotčeným klientům se za lékařovo pochybení sama omluvila. ÚOOÚ v té souvislosti upozorňuje na to, že předávání dokumentů obsahujících osobní údaje je třeba věnovat patřičnou pozornost, zejm. pak obsahují-li zvláštní kategorie osobních údajů (např. o zdravotním stavu). V takovém případě je třeba zavést nezbytné mechanismy dostatečné kontroly před zpřístupněním údajů neoprávněné osobě.


                                      

+     Zpracování osobních údajů žáků ZŠ


Ve sledovaném případě šlo o to, že jistá kolínská základní škola zpracovávala osobní údaje žáků a jiných osob v souvislosti s používáním bezkontaktní čipové karty jako identifikátoru k výdeji obědů ve školní jídelně a přístupu do prostor školy. Žáci čip získali v září 2017 s tím, že jejich rodiče vyslovili souhlas s užíváním služeb, které čip po zaktivování umožňuje. Zřizovatelem školy je město Kolín. To však s dodavatelem čipů nemělo uzavřenu smlouvu umožňující propojení poskytovaných služeb. V souvislosti s vedením seznamu žáků při využívání čipu ÚOOÚ zjistil porušení nařízení GDPR spočívající v tom, že do seznamu uživatelů využívajících čipu ve školní jídelně byli zahrnuti i žáci, kteří čip jako identifikátor do školní jídelny nevyužívali. Pro zpracování osobních údajů těchto žáků tedy ZŠ nesvědčil žádný právní titul a jejich zpracování bylo nezákonné. ÚOOÚ tuto ZŠ tedy uznal vinnou ze spáchání přestupku, avšak i s ohledem na skutečnost, že škola závadný stav neprodleně napravila, pokutu neuložil. ÚOOÚ v té souvislosti poukazuje na skutečnost, že právě zpracování osobních údajů dětí je třeba vždy věnovat zvýšenou pozornost, protože patří mezi zranitelné subjekty údajů.


+     Zpracování osobních údajů po odvolání souhlasu


Na základě stížnosti provedl ÚOOÚ kontrolu ve společnosti Alza.cz a.s. Kontrola byla provedena poté, co stěžovatel odvolal souhlas se zpracováním svých osobních údajů společností Alza.cz. Společnost totiž podmínila poskytnutí jednoho ze svých produktů zasláním kopie občanského průkazu zákazníka, na kteréžto kopii byla vidět i jeho fotografie. Stěžovatel svůj souhlas s udělením kopie občanského průkazu odvolal, ovšem v důsledku pochybení zaměstnance společnost Alza.cz jeho žádost nevyřídila. Tím se dopustila neoprávněného zpracovávání kopie občanského průkazu a fotografie stěžovatele, neboť ke zpracování neměla potřebný právní titul. Byť společnost Alza.cz závadný stav následně napravila, ÚOOÚ jí uložil pokutu ve výši 15 000 Kč i s ohledem na to, že žádosti subjektů údajů, vč. odvolání souhlasů, je správce povinen vyřídit vždy bez zbytečného odkladu, nejpozději do 1 měsíce. Nevyřídí-li správce žádost včas nebo není-li s jejím vyřízením subjekt údajů spokojen, může se obrátit na ÚOOÚ.


+     Zpracování osobních údajů kamerovým systémem v bytovém domě


ÚOOÚ provedl v tomto případě kontrolu zpracování osobních údajů prostřednictvím kamerového systému se záznamem umístěného v bytovém domě. Kamerový systém zabíral vstupní dveře domu, dveře výtahu v přízemí a současně s nimi i vstupní dveře do jednoho z bytů sousedících s výtahem. ÚOOÚ shledal, že pro účely ochrany majetku daného SVJ, resp. ochrany života a zdraví osoby pohybujících se v domě, je instalace kamerového systému přípustná. Co však ÚOOÚ nepřipustil, je zabírání prostoru zahrnujícího vstup do bytu naproti výtahu. To ÚOOÚ považuje již za zásah do soukromého a osobního života subjektu údajů v nadměrné míře a nejeví se to ani jako nezbytné pro sledovaný účel. Kontrolované SVJ ještě v průběhu kontroly upravilo záběr kamery tak, aby vchod do bytu již nezachycoval – i vzhledem k tomu ÚOOÚ upustil od uložení pokuty.


+     Vyřízení žádosti o uplatnění práva na výmaz


Ve sledovaném případě Česká televize (ČT) odvysílala roku 2009 ve spolupráci s Policií ČR reportáž o pátrání po stěžovateli. Tato reportáž zůstala dostupná v internetovém archivu ČT. Po zahlazení odsouzení požádal stěžovatel o výmaz svých osobních údajů s odkazem na to, že účel odvysílání již pominul. ČT následně reportáž odstranila, ovšem ponechala dostupný na svém webu titulek reportáže a krátký popis, který obsahoval jméno stěžovatele a město, ve kterém páchal svoji trestnou činnost. Stěžovatel proto podal druhou žádost o výmaz titulku, které ČT již nevyhověla, neboť dospěla k závěru, že existují závažné a oprávněné důvody pro další zpracování těchto osobních údajů. ÚOOÚ tento postup ČT potvrdil, neboť shledal, že uchováváním reportáží v internetovém archivu ČT plní zákonnou povinnost vyplývající ze zákona o České televizi, a pro zpracování těchto osobních údajů jí tedy svědčí právní titul. Podle ÚOOÚ postup, kdy ČT poměřila konkurující si práva a dospěla k závěru, že je nezbytné odstranit video, nikoli však jeho anotaci, odpovídá požadavkům právních předpisů a v dostatečném rozsahu zohledňuje jak právo na informace a svobodu projevu, tak právo na ochranu osobních údajů. ÚOOÚ zdůrazňuje, že právo na výmaz není právem absolutním, a zejm. při zpracování osobních údajů pro novinářské účely je třeba vždy poměřovat právo na ochranu osobních údajů s právem na informace a svobodu projevu, která se ve světle judikatury SDEU i ESLP vztahuje právě i na internetové novinářské archivy.


Další novinky z oblasti ochrany osobních údajů


+     První závazná podniková pravidla podle GDPR


Článek 47 GDPR umožňuje skupinám podniků nebo uskupením podniků vykonávající společnou hospodářskou činnost vytvořit tzv. závazná podniková pravidla (BCR). BCR jsou jedním z nástrojů pro vytvoření vhodných záruk ochrany osobních údajů, které jsou předávány v rámci hospodářské činnosti správce do třetích zemí s nedostatečnou úrovní ochrany osobních údajů. Zejména pro velké nadnárodní korporace tak představují ideální nástroj pro přeshraniční předávání osobních údajů. BCR v zásadě představují schválený souhrn zásad zpracování osobních údajů v rámci skupiny podniků, které jsou závazné pro všechny jejich členy i zaměstnance. BCR může vytvořit nejen správce, ale také zpracovatel. Pokud se správce či zpracovatel rozhodnou pro zavedení BCR, pak připravená BCR podléhají nezbytnému schválení ze strany správcem zvoleného dohledového úřadu (české skupiny podniků proto mohou pro tyto účely zvolit ÚOOÚ). Kladné stanovisko k BCR v rámci schvalovací procedury bude muset poskytnout také Evropský sbor pro ochranu osobních údajů. Na podzim 2019 Evropský sbor pro ochranu osobních údajů vydal kladná stanoviska k prvním dvěma navrhovaným BCR (společnosti Equinix a ExxonMobil Corporation).


Závěrem


Závěrem si dovolujeme seznámit Vás s následující statistikou. Advokátní deník přinesl informaci, že od vstupu GDPR v platnost koncem května 2018 bylo v EU dosud nahlášeno přes 160 000 případů porušení ochrany osobních údajů. Úřady na ochranu osobních údajů napříč členskými státy dosud udělily za porušení ochrany osobních dat pokuty převyšující v celkové výši částku 102 milionů EUR. V samotné České republice bylo zaregistrováno 720 případů porušení ochrany osobních údajů, čímž se ČR řadí na 17. místo z 28 podle počtu registrovaných porušení. V průměru připadají v ČR 4 přestupky na 100 000 obyvatel. Celková výše pokut překročila v ČR 290 000 EUR (13. místo z 28). Odborníci se shodují na tom, že v následujících letech lze očekávat pokut více a ve vyšší výši, protože národní regulátoři si své nové pravomoci zatím ještě aktivně neosvojili.


V případě konkrétních dotazů se na nás neváhejte obrátit.

O dalších novinkách ze závěrů kontrol ÚOOÚ Vás budeme informovat.