Úřad pro ochranu osobních údajů (dále jen Úřad) nedávno zveřejnil výsledky svých kontrol za druhé poletí loňského roku 2018, tedy už po skončení přechodného období, kdy nařízení 2016/679 vstoupilo v účinnost. Je důležité podotknout, že český implementační zákon je nyní na cestě ze Senátu zpět do Sněmovny.
Zpráva Úřadu se týká 34 kontrol. Ve 14 případech podle Úřadu nedošlo k porušení zákona.
Ve dvou případech došlo k porušení jiného zákona než je zákon 101/2000 Sb. (podle kterého byla vedena většina kontrol) a než je nařízení GDPR. Zajímavostí může být to, že jeden případ přesně zapadá do průzkumu, který jsme prováděli loni.
Lékař vzal zdravotní dokumentaci pacientky mimo areál kontrolovaného, a byla mu z vozidla zcizena. Došlo tedy sice k porušení §14 zákona 101/2000 Sb., které ale není přestupkem:
Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.
Další za zmínku stojí zpracování kopií osobních průkazů, ačkoliv to bylo v rámci zpracování nadbytečné. S tímto nešvarem se setkáváme velmi často. Perličkou v daném případě je to, že káraným je Ministerstvo vnitra. Tak jako v dalších 6 případech Úřad upustil od uložení pokuty, neboť kontrolovaný správce stav neprodleně napravil.
Případ Ministerstva vnitra má ale ještě jednu zápletku. Ministerstvo vnitra má sice systém umožňující logování – ukládání záznamů o přístupech, ale tento systém není schopen identifikovat jednotlivé přístupy, tedy kdo kdy k jaké údaje zpracovával! Dle připravovaného zákona o zpracování osobních údajů každý správce bude povinen pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje pořizovány a zpracovávány.
Další zajímavou zápletkou je kontrola politického hnutí ANO 2011, u kterého došlo ke zneužití slabiny v technickém řešení aplikace “Chceme lepší Česko” neznámou osobou. Hnutí ANO 2011 v rámci této aplikace shromažďuje údaje jako email, poštovní směrovací číslo, pohlaví, věkové rozhraní a nejvyšší dosažené vzdělání. Dále hnutí shromažďuje údaje s informacemi o politických názorech. I v tomto případě úřad upustil od uložení pokuty, protože kontrolovaná osoba závadný stav neprodleně napravila.
Nedávno jsme také v jiném článku prezentovali výsledky průzkumu, který jsme prováděli podle britského vzoru. V článku jsme zmiňovali přenos dat pomocí flash disků. Právě nezabezpečený flash disk se stal součástí kontroly. Stěžovatel našel u obchodního domu flash disk, který obsahoval 760 smluv o poskytování veřejně dostupných služeb elektronických komunikací. Nicméně v případu se u stěžovatele vyskytlo několik nesrovnalostí a protože došlo k podezření na nekalé obchodní praktiky, či možnost na pokus o poškození společnosti bývalým zaměstnancem, je kontrola přerušena do ukončení vyšetřování případu Policií ČR. Teoreticky je možné, že stěžovatel získal data kontrolované společnosti nelegálně jiným způsobem než nalezením flash disku a nyní se prostřednictvím úřadu snaží o tzv. racketeering (vydírání, či snaha o jiné poškození společnosti, jejího jména, či obchodních zájmů).
Nicméně to ukazuje na nebezpečnost takového přenosu a ukládání dat, nejen těch osobních, ale i o nastavení procesů se zpracováním vlastních dat a jejich ochrany.
Petr Gondek, DPO, managing director GDPR Support s.r.o.