ÚOOÚ zveřejnil výsledky kontrol

UOOU

Úřad pro ochranu osobních údajů (dále jen Úřad) nedávno zveřejnil výsledky svých kontrol za druhé poletí loňského roku 2018, tedy už po skončení přechodného období, kdy nařízení 2016/679 vstoupilo v účinnost. Je důležité podotknout, že český implementační zákon je nyní na cestě ze Senátu zpět do Sněmovny.

Zpráva Úřadu se týká 34 kontrol. Ve 14 případech podle Úřadu nedošlo k porušení zákona.

Ve dvou případech došlo k porušení jiného zákona než je zákon 101/2000 Sb. (podle kterého byla vedena většina kontrol) a než je nařízení GDPR. Zajímavostí může být to, že jeden případ přesně zapadá do průzkumu, který jsme prováděli loni.

Lékař vzal zdravotní dokumentaci pacientky mimo areál kontrolovaného, a byla mu z vozidla zcizena. Došlo tedy sice k porušení §14 zákona 101/2000 Sb., které ale není přestupkem:

Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.

Další za zmínku stojí zpracování kopií osobních průkazů, ačkoliv to bylo v rámci zpracování nadbytečné. S tímto nešvarem se setkáváme velmi často. Perličkou v daném případě je to, že káraným je Ministerstvo vnitra. Tak jako v dalších 6 případech Úřad upustil od uložení pokuty, neboť kontrolovaný správce stav neprodleně napravil.

Případ Ministerstva vnitra má ale ještě jednu zápletku. Ministerstvo vnitra má sice systém umožňující logování – ukládání záznamů o přístupech, ale tento systém není schopen identifikovat jednotlivé přístupy, tedy kdo kdy k jaké údaje zpracovával! Dle připravovaného zákona o zpracování osobních údajů každý správce bude povinen pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje pořizovány a zpracovávány.

Další zajímavou zápletkou je kontrola politického hnutí ANO 2011, u kterého došlo ke zneužití slabiny v technickém řešení aplikace “Chceme lepší Česko” neznámou osobou. Hnutí ANO 2011 v rámci této aplikace shromažďuje údaje jako email, poštovní směrovací číslo, pohlaví, věkové rozhraní a nejvyšší dosažené vzdělání. Dále hnutí shromažďuje údaje s informacemi o politických názorech. I v tomto případě úřad upustil od uložení pokuty, protože kontrolovaná osoba závadný stav neprodleně napravila.

Nedávno jsme také v jiném článku prezentovali výsledky průzkumu, který jsme prováděli podle britského vzoru. V článku jsme zmiňovali přenos dat pomocí flash disků. Právě nezabezpečený flash disk se stal součástí kontroly. Stěžovatel našel u obchodního domu flash disk, který obsahoval 760 smluv o poskytování veřejně dostupných služeb elektronických komunikací. Nicméně v případu se u stěžovatele vyskytlo několik nesrovnalostí a protože došlo k podezření na nekalé obchodní praktiky, či možnost na pokus o poškození společnosti bývalým zaměstnancem, je kontrola přerušena do ukončení vyšetřování případu Policií ČR. Teoreticky je možné, že stěžovatel získal data kontrolované společnosti nelegálně jiným způsobem než nalezením flash disku a nyní se prostřednictvím úřadu snaží o tzv. racketeering (vydírání, či snaha o jiné poškození společnosti, jejího jména, či obchodních zájmů).

Nicméně to ukazuje na nebezpečnost takového přenosu a ukládání dat, nejen těch osobních, ale i o nastavení procesů se zpracováním vlastních dat a jejich ochrany.

Petr Gondek, DPO, managing director GDPR Support s.r.o.