Doporučení a metodiky
Metodika MV - o svobodném přístupu k informacím
Ministerstvo vnitra vydalo metodické doporučení k aplikaci vybraných procesních ustanovení zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, po novele provedené zákonem č. 111/2019 Sb.
Zdroj: MV ČR
Zdroj: MV ČR
ÚOOÚ předkládá k veřejné diskuzi metodiku DPIA
Úřad pro ochranu osobních údajů uveřejnil na svém webu k veřejné diskuzi návrh metodiky obecného posouzení vlivu na ochranu osobních údajů (DPIA).
Metodika je určena primárně pro potřeby správců. Využít ji však mohou i zpracovatelé osobních údajů (pokud např. v rámci dodávky předloží typovou DPIA pro jimi dodávané produkty), zpracovatelé legislativních návrhů (v současnosti předkládané legislativní návrhy většinou neobsahují konkrétní posouzení rizik pro práva a svobody subjektů údajů a plánovaná opatření k řešení těchto rizik) a další odborníci na ochranu osobních údajů.
Metodiku a bližší info naleznete ZDE
Zdroj: ÚOOÚ
Metodika je určena primárně pro potřeby správců. Využít ji však mohou i zpracovatelé osobních údajů (pokud např. v rámci dodávky předloží typovou DPIA pro jimi dodávané produkty), zpracovatelé legislativních návrhů (v současnosti předkládané legislativní návrhy většinou neobsahují konkrétní posouzení rizik pro práva a svobody subjektů údajů a plánovaná opatření k řešení těchto rizik) a další odborníci na ochranu osobních údajů.
Metodiku a bližší info naleznete ZDE
Zdroj: ÚOOÚ
ÚUUÚ zveřejnil svá druhoinstanční rozhodnutí
Portál ÚOOÚ uveřejnil na svých stránkách vybraná anonymizovaná druhoinstanční rozhodnutí předsedkyně Úřadu.
Informace se týkají rozkladu - opravného prostředku, kterého mohou využití ti, kterým ÚOOÚ vydaným rozhodnutím uložil správní sankci, či nápravné opatření. To mohou díky této variantě napadnout. Všechna rozhodnutí ÚOOÚ zveřejňuje v nezkrácené podobě, pouze s nezbytně anonymizovanými daty.
Jedná se o další krok, kterým se ÚOOÚ ještě více otevírá veřejnosti. Od svého založení už v pravidelných půlročních intervalech informuje o provedených kontrolách.
Bližší informace ÚOOÚ
Zdroj: ÚOOÚ
Informace se týkají rozkladu - opravného prostředku, kterého mohou využití ti, kterým ÚOOÚ vydaným rozhodnutím uložil správní sankci, či nápravné opatření. To mohou díky této variantě napadnout. Všechna rozhodnutí ÚOOÚ zveřejňuje v nezkrácené podobě, pouze s nezbytně anonymizovanými daty.
Jedná se o další krok, kterým se ÚOOÚ ještě více otevírá veřejnosti. Od svého založení už v pravidelných půlročních intervalech informuje o provedených kontrolách.
Bližší informace ÚOOÚ
Zdroj: ÚOOÚ
Předem zaškrtnuté políčko ve webovém formuláři není platným projevem vůle uživatelů
Soudní dvůr EU rozhodl 1. října 2019 ve věci C-673/17 na základě žádosti Spolkového soudního dvora spor o výklad unijního práva týkajícího se ochrany soukromí v souvislosti s elektronickou komunikací.
Soudní dvůr rozhodl, že uživatel při prohlížení webových stránek neudělil platně souhlas, pokud na svém zařízení „souhlasil“ s předem zaškrtnutým políčkem (zaškrtnutí by musel zrušit, pokud by chtěl souhlas odmítnout).
"Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván."
Zpráva ÚOOÚ
Neoficiální překlad rozsudku
Zdroj: ÚOOÚ
"Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván."
Zpráva ÚOOÚ
Neoficiální překlad rozsudku
Zdroj: ÚOOÚ
Informační povinnost je třeba dodržovat
Informační povinnost, tedy povinnost informovat subjekty údajů o zpracování jejich osobních údajů, vyplývá z článků 13 a 14 GDPR. A ten, kdo informovat zapomene, se může velmi rychle dozvědět, že neplnění pravidel se nemusí vyplatit. I když pokuta nakonec nepřijde.
Ukázkou, jak důležité je dodržovat informační povinnost, je výstup z kontroly v Ostravském Bytovém družstvu Podroužkova 1684.
Na základě podnětu provedl Úřad kontrolu dle nařízení (EU) 2016/679, jejímž předmětem bylo zpracování osobních údajů prostřednictvím kamerového systému se záznamovým zařízením instalovaném v prostorách bytového domu.
Správce je při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí dále subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených nařízením (EU) 2016/679. Ačkoli kontrolovaná osoba provozuje kamerový systém se záznamem, o této skutečnosti dostatečně neinformovala subjekty údajů.
Kontrolovaná osoba výše uvedeným jednáním porušila povinnosti stanovené v čl. 13 nařízení (EU) 2016/679.
Úřad uložil kontrolované osobě nápravná opatření spočívající v povinnosti doplnit informaci o zpracování osobních údajů prostřednictvím kamerového systému a v povinnosti odpovědět stěžovateli na jeho žádost o přístup k osobním údajům. Kontrolovaná osoba tato opatření splnila a podala o tom Úřadu zprávu. Vzhledem k rozsahu porušení a provedení nápravy upustil Úřad od uložení pokuty.
Informovat subjekty údajů se musí. A když už na tuto povinnost zapomeneme, není vhodné přehlížet ty, kteří na naši chybu upozorňují.
Zdroj: ÚOOÚ
Ukázkou, jak důležité je dodržovat informační povinnost, je výstup z kontroly v Ostravském Bytovém družstvu Podroužkova 1684.
Na základě podnětu provedl Úřad kontrolu dle nařízení (EU) 2016/679, jejímž předmětem bylo zpracování osobních údajů prostřednictvím kamerového systému se záznamovým zařízením instalovaném v prostorách bytového domu.
Správce je při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí dále subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených nařízením (EU) 2016/679. Ačkoli kontrolovaná osoba provozuje kamerový systém se záznamem, o této skutečnosti dostatečně neinformovala subjekty údajů.
Kontrolovaná osoba výše uvedeným jednáním porušila povinnosti stanovené v čl. 13 nařízení (EU) 2016/679.
Úřad uložil kontrolované osobě nápravná opatření spočívající v povinnosti doplnit informaci o zpracování osobních údajů prostřednictvím kamerového systému a v povinnosti odpovědět stěžovateli na jeho žádost o přístup k osobním údajům. Kontrolovaná osoba tato opatření splnila a podala o tom Úřadu zprávu. Vzhledem k rozsahu porušení a provedení nápravy upustil Úřad od uložení pokuty.
Informovat subjekty údajů se musí. A když už na tuto povinnost zapomeneme, není vhodné přehlížet ty, kteří na naši chybu upozorňují.
Zdroj: ÚOOÚ
Kamerový systém obhájíte, když obhájíte jeho význam
Právní důvod pro využití kamerového systému se záznamem lze najít například také v kavárně. Důležité je, prokázat, že kamerový systém zbytečně nezabírá prostory, které není třeba snímat, a současně vysvětlit, z jakého důvodu záznam vzniká.
Důkazem výše uvedeného tvrzení je výsledek kontroly Úřadu pro ochranu osobních údajů v jedné nejmenované kavárně.
Na základě podnětu provedl Úřad kontrolu dle zákona č. 101/2000 Sb., jejímž předmětem bylo zpracování osobních údajů prostřednictvím kamerového systému se záznamovým zařízením v prostorách kavárny.
Kontrolou bylo zjištěno, že kontrolovaná osoba v souvislosti s provozem své kavárny zpracovává osobní údaje prostřednictvím jedné kamery. Tento kamerový systém cíleně monitoruje pokladnu a vstupní dveře kavárny. V minulosti zde došlo k pokusu vloupání a k úmyslnému nezaplacení útraty skupinou osob, což jim bylo prokázáno Policií České republiky záznamem z tohoto kamerového systému. V návaznosti na kontrolní zjištění dospěl Úřad k závěru, že kontrolované osobě svědčí pro toto zpracování osobních údajů právní titul.
Zdroj: ÚOOÚ
Důkazem výše uvedeného tvrzení je výsledek kontroly Úřadu pro ochranu osobních údajů v jedné nejmenované kavárně.
Na základě podnětu provedl Úřad kontrolu dle zákona č. 101/2000 Sb., jejímž předmětem bylo zpracování osobních údajů prostřednictvím kamerového systému se záznamovým zařízením v prostorách kavárny.
Kontrolou bylo zjištěno, že kontrolovaná osoba v souvislosti s provozem své kavárny zpracovává osobní údaje prostřednictvím jedné kamery. Tento kamerový systém cíleně monitoruje pokladnu a vstupní dveře kavárny. V minulosti zde došlo k pokusu vloupání a k úmyslnému nezaplacení útraty skupinou osob, což jim bylo prokázáno Policií České republiky záznamem z tohoto kamerového systému. V návaznosti na kontrolní zjištění dospěl Úřad k závěru, že kontrolované osobě svědčí pro toto zpracování osobních údajů právní titul.
Zdroj: ÚOOÚ
Přístup k osobním údajům zaměstnanců se řídí přísnými pravidly
Přístup k osobním údajům zaměstnanců se řídí přísnými pravidly. Nahlížet nebo dokonce upravovat osobní spisy mohou pouze vybraní pracovníci, kteří jsou k tomuto účelu pověřeni statutárním orgánem. Platí také, že pro uložení osobních údajů musí organizace použít vhodně zabezpečený úložný prostor. Ne vždy se však tato pravidla dodržují. Jeden z případů se týkal Energetického regulačního úřadu a chyby odhalil Úřad pro ochranu osobních údajů.
Kontrola proběhla na základě externího podnětu, ze kterého vyplývalo, že přístup k osobním údajům zaměstnanců neoprávněně získal jeden ze členů statutárního orgánu ERÚ. Osobní spisy si podle stěžovatelů tato osoba převzala ze mzdového a personálního oddělení a přenesla je do své kanceláře, kde měly být bez jakéhokoli zabezpečení volně uloženy v neuzamykatelných skříních.
Současně podle stěžovatelů docházelo i k neoprávněným přístupům do spisů a osobních spisů.
Při kontrole bylo zjištěno, že k přemístění spisů došlo v souvislosti s kontrolou personálních spisů, kterou měl pověřený člen statutárního orgánu provést. Kontrolovaná osoba však v souvislosti s přemístěním a následnou kontrolou personálních spisů nespecifikovala dostatečně určitě podmínky, za kterých má k přemístění a kontrole dojít (zabezpečení a podmínky pro přístup ke spisům, okruh osob oprávněných k přístupu ke spisům). Tím porušila povinnost podle § 13 zákona č. 101/2000 Sb. Osobní spisy kontrolovaného tak byly v období od srpna do listopadu 2017 vystaveny riziku přístupu neoprávněných osob.
Současně bylo zjištěno porušení povinnosti upravené v § 14 zákona č. 101/2000 Sb. ze strany člena statutárního orgánu pověřeného provedením kontroly personálních spisů, spočívající v manipulaci s konkrétními spisy nad rámec služebního úkolu.
Ze zprávy ÚOOÚ jednoznačně vyplynulo důležité poučení: Při zpracovávání osobních údajů (např. zaměstnanců) zdaleka nestačí pověření. Je rovněž třeba zajistit ochranu zpracovávaných osobních údajů, aby se k nim například nedostaly neoprávněné osoby. A principy ochrany by měly být stanoveny už v zadání pro pověření.
Zdroj: ÚOOÚ
Kontrola proběhla na základě externího podnětu, ze kterého vyplývalo, že přístup k osobním údajům zaměstnanců neoprávněně získal jeden ze členů statutárního orgánu ERÚ. Osobní spisy si podle stěžovatelů tato osoba převzala ze mzdového a personálního oddělení a přenesla je do své kanceláře, kde měly být bez jakéhokoli zabezpečení volně uloženy v neuzamykatelných skříních.
Současně podle stěžovatelů docházelo i k neoprávněným přístupům do spisů a osobních spisů.
Při kontrole bylo zjištěno, že k přemístění spisů došlo v souvislosti s kontrolou personálních spisů, kterou měl pověřený člen statutárního orgánu provést. Kontrolovaná osoba však v souvislosti s přemístěním a následnou kontrolou personálních spisů nespecifikovala dostatečně určitě podmínky, za kterých má k přemístění a kontrole dojít (zabezpečení a podmínky pro přístup ke spisům, okruh osob oprávněných k přístupu ke spisům). Tím porušila povinnost podle § 13 zákona č. 101/2000 Sb. Osobní spisy kontrolovaného tak byly v období od srpna do listopadu 2017 vystaveny riziku přístupu neoprávněných osob.
Současně bylo zjištěno porušení povinnosti upravené v § 14 zákona č. 101/2000 Sb. ze strany člena statutárního orgánu pověřeného provedením kontroly personálních spisů, spočívající v manipulaci s konkrétními spisy nad rámec služebního úkolu.
Ze zprávy ÚOOÚ jednoznačně vyplynulo důležité poučení: Při zpracovávání osobních údajů (např. zaměstnanců) zdaleka nestačí pověření. Je rovněž třeba zajistit ochranu zpracovávaných osobních údajů, aby se k nim například nedostaly neoprávněné osoby. A principy ochrany by měly být stanoveny už v zadání pro pověření.
Zdroj: ÚOOÚ
Osobní údaje pacientů je nezbytné velmi dobře chránit
Osobní údaje pacientů spadají bezesporu do kategorie citlivých. Jejich ochrana by proto měla vždy splňovat ta nejpřísnější kritéria. Přesto stále dochází k situacím, kdy právě ke zdravotní dokumentaci pacientů mohou přistupovat či ji dokonce pozměňovat neoprávněné osoby, což samozřejmě znamená pregnantní porušení povinností správce těchto údajů.
Nejnověji na problém se zabezpečením upozornil Úřad pro ochranu osobních údajů ve zprávě o kontrole, kterou na základě podnětu realizoval v Nemocnici Tábor. Potenciální problémy s ochranou tohoto typu osobních údajů se ovšem nemusí týkat pouze zdravotnických zařízení. S informacemi o zdraví totiž pracují i jiné instituce - například školy a školky.
Konkrétním předmětem podnětu přitom nebylo zásadní narušení bezpečnosti. Nemocnice se totiž prohřešku dopustila tím, že zpřístupnila e-mailové adresy pacientů neoprávněným osobám a bez souhlasu subjektů údajů využila tyto kontakty při rozesílání různých nabídek.
Nemocnice Tábor je poskytovatelem zdravotních služeb ve smyslu § 2 odst. 1 zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování, a na základě tohoto zákona tedy vede zdravotnickou dokumentaci pacientů. Předmětem kontroly bylo podezření z možného nahlížení do elektronické zdravotnické dokumentace pacientky a pozměňování jejího obsahu neoprávněnými osobami. Kontrolující se proto při kontrole zaměřili zejména na posouzení úrovně zabezpečení osobních údajů (fyzické zabezpečení, zabezpečení elektronické zdravotní dokumentace), technicko-organizačních opatření k zajištění ochrany osobních údajů, logování, kontrolních mechanismů a školení zaměstnanců.
Ve vztahu ke kontrole povinností dle zákona č. 480/2004 Sb. Úřad zjistil, že nemocnice svým jednáním porušila povinnosti stanovené v § 7 odst. 2 tohoto zákona, tedy využít podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. Nemocnice porušila také § 7 odst. 4 písm. a) a b) zákona č. 480/2004 Sb., neboť šířená obchodní sdělení nebyla zřetelně a jasně jako obchodní sdělení označena a neobsahovala identifikaci odesílatele. Úřad dále zjistil, že kontrolovaná osoba porušila také § 7 odst. 4 písm. c) zákona č. 480/2004 Sb., neboť obchodní sdělení byla zaslána bez platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace odesílatelem nadále zasílány.
V návaznosti na kontrolní zjištění Úřad zahájil správní řízení s fyzickou osobou, která je v pozici správce osobních údajů. Předmětem tohoto řízení je uložení nápravných opatření této fyzické osobě, spočívající v povinnosti provést výmaz osobních údajů stěžovatelů a osobních údajů, pro jejichž zpracování správci nesvědčí právní titul, uzavřít písemnou zpracovatelskou smlouvu a splnit informační povinnost vůči subjektům údajů.
Zdroj: ÚOOÚ
Nejnověji na problém se zabezpečením upozornil Úřad pro ochranu osobních údajů ve zprávě o kontrole, kterou na základě podnětu realizoval v Nemocnici Tábor. Potenciální problémy s ochranou tohoto typu osobních údajů se ovšem nemusí týkat pouze zdravotnických zařízení. S informacemi o zdraví totiž pracují i jiné instituce - například školy a školky.
Konkrétním předmětem podnětu přitom nebylo zásadní narušení bezpečnosti. Nemocnice se totiž prohřešku dopustila tím, že zpřístupnila e-mailové adresy pacientů neoprávněným osobám a bez souhlasu subjektů údajů využila tyto kontakty při rozesílání různých nabídek.
Nemocnice Tábor je poskytovatelem zdravotních služeb ve smyslu § 2 odst. 1 zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování, a na základě tohoto zákona tedy vede zdravotnickou dokumentaci pacientů. Předmětem kontroly bylo podezření z možného nahlížení do elektronické zdravotnické dokumentace pacientky a pozměňování jejího obsahu neoprávněnými osobami. Kontrolující se proto při kontrole zaměřili zejména na posouzení úrovně zabezpečení osobních údajů (fyzické zabezpečení, zabezpečení elektronické zdravotní dokumentace), technicko-organizačních opatření k zajištění ochrany osobních údajů, logování, kontrolních mechanismů a školení zaměstnanců.
Ve vztahu ke kontrole povinností dle zákona č. 480/2004 Sb. Úřad zjistil, že nemocnice svým jednáním porušila povinnosti stanovené v § 7 odst. 2 tohoto zákona, tedy využít podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. Nemocnice porušila také § 7 odst. 4 písm. a) a b) zákona č. 480/2004 Sb., neboť šířená obchodní sdělení nebyla zřetelně a jasně jako obchodní sdělení označena a neobsahovala identifikaci odesílatele. Úřad dále zjistil, že kontrolovaná osoba porušila také § 7 odst. 4 písm. c) zákona č. 480/2004 Sb., neboť obchodní sdělení byla zaslána bez platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace odesílatelem nadále zasílány.
V návaznosti na kontrolní zjištění Úřad zahájil správní řízení s fyzickou osobou, která je v pozici správce osobních údajů. Předmětem tohoto řízení je uložení nápravných opatření této fyzické osobě, spočívající v povinnosti provést výmaz osobních údajů stěžovatelů a osobních údajů, pro jejichž zpracování správci nesvědčí právní titul, uzavřít písemnou zpracovatelskou smlouvu a splnit informační povinnost vůči subjektům údajů.
Zdroj: ÚOOÚ
Zabezpečení osobních údajů je třeba ošetřit technicky i organizačně
Při zpracování osobních údajů je třeba dbát pravidel ochrany osobních údajů, a to nejen podle GDPR (v blízké budoucnosti zákona o zpracování osobních údajů), ale také podle zákona o ochraně osobních údajů (č. 101/2000 Sb.) - konkrétně § 13 odstavec 1 až 4.
Tento poznatek vyplývá z uzavřené kontroly zabezpečení osobních údajů, kterou na základě vnějšího podnětu provedl Úřad pro ochranu osobních údajů na územním pracovišti Finančního úřadu v Teplicích. Důvodem stížnosti bylo doručení exekučního příkazu na chybnou adresu, tedy jasně prokazatelní chyba.
Kontrola se podle sdělení úřadu zaměřila na posouzení toho, zda a v jaké míře byly dodrženy povinnosti, které kontrolované osobě, jako správci osobních údajů, vyplývají ze zákona č. 101/2000 Sb.
ÚOOÚ v rámci kontroly hodnotil interní předpisy kontrolované osoby upravující nakládání s dokumenty, postup při školení zaměstnanců, a to i ve vztahu k využívání automatizovaného daňového informačního systému. Prověřil také opatření přijatá k zajištění fyzické bezpečnosti prostor, kde jsou osobní údaje zpracovávány.
Ze zprávy o kontrole vyplývá: "Úřad při kontrole zjistil, že kontrolovaná osoba přijala a realizovala dostatečná technicko-organizační opatření k zajištění bezpečnosti zpracovávaných osobních údajů. Předmětný incident tedy nebyl způsoben absencí či nedostatečností opatření na straně kontrolované osoby, ale pochybením zaměstnankyně kontrolované osoby.
Úřad tedy zjistil porušení § 14 zákona č. 101/2000 Sb. (zpracování za podmínek správcem stanovených), které ovšem není přestupkem. Takové pochybení zaměstnanců je řešeno v kárném či disciplinárním řízení v rámci pracovněprávního vztahu."
Kvalitní technicko-organizační opatření lze považovat za základní předpoklad ochrany osobních údajů. Správce osobních údajů se však neobejde bez náležitého proškolení a osvěty. Proto lze jednoznačně doporučit nejen administrativně zpracovat potřebná pravidla, ale také provést příslušná školení.
Zdroj: ÚOOÚ
Tento poznatek vyplývá z uzavřené kontroly zabezpečení osobních údajů, kterou na základě vnějšího podnětu provedl Úřad pro ochranu osobních údajů na územním pracovišti Finančního úřadu v Teplicích. Důvodem stížnosti bylo doručení exekučního příkazu na chybnou adresu, tedy jasně prokazatelní chyba.
Kontrola se podle sdělení úřadu zaměřila na posouzení toho, zda a v jaké míře byly dodrženy povinnosti, které kontrolované osobě, jako správci osobních údajů, vyplývají ze zákona č. 101/2000 Sb.
ÚOOÚ v rámci kontroly hodnotil interní předpisy kontrolované osoby upravující nakládání s dokumenty, postup při školení zaměstnanců, a to i ve vztahu k využívání automatizovaného daňového informačního systému. Prověřil také opatření přijatá k zajištění fyzické bezpečnosti prostor, kde jsou osobní údaje zpracovávány.
Ze zprávy o kontrole vyplývá: "Úřad při kontrole zjistil, že kontrolovaná osoba přijala a realizovala dostatečná technicko-organizační opatření k zajištění bezpečnosti zpracovávaných osobních údajů. Předmětný incident tedy nebyl způsoben absencí či nedostatečností opatření na straně kontrolované osoby, ale pochybením zaměstnankyně kontrolované osoby.
Úřad tedy zjistil porušení § 14 zákona č. 101/2000 Sb. (zpracování za podmínek správcem stanovených), které ovšem není přestupkem. Takové pochybení zaměstnanců je řešeno v kárném či disciplinárním řízení v rámci pracovněprávního vztahu."
Kvalitní technicko-organizační opatření lze považovat za základní předpoklad ochrany osobních údajů. Správce osobních údajů se však neobejde bez náležitého proškolení a osvěty. Proto lze jednoznačně doporučit nejen administrativně zpracovat potřebná pravidla, ale také provést příslušná školení.
Zdroj: ÚOOÚ
Zveřejňování adresních či jiných identifikačních údajů žadatele ve zveřejněných odpovědích na žádost o informace dle zákona č. 106/1999 Sb.
Byť mají povinné subjekty dle § 5 odst. 3 zákona č. 106/1999 Sb. povinnost poskytnutou informaci zveřejnit způsobem umožňujícím dálkový přístup, nelze v rámci tohoto postupu zveřejňovat zároveň adresní či jiné identifikační údaje žadatele.
V praxi jde nejčastěji o chybný postup spočívající v umístění celého dokumentu odpovědi (nebo zároveň i žádosti) na internetové stránky povinného subjektu či jeho naskenování bez začernění či jiné anonymizace adresních a jiných údajů žadatele.
V případě, že povinný subjekt volí variantu umístění celého dokumentu odpovědi (nebo i žádosti) na internetové stránky (tj. neumístí pouze samotnou poskytnutou informaci), je nutné věnovat pozornost i provedení správné anonymizace dokumentu, tak aby anonymizované informace nemohly být jednoduchým krokem zpřístupněny (např. prosté začernění textu v programu Word lze jednoduše uvést zpět do čitelného stavu).
Úřad v této souvislosti odkazuje na stanovisko ministerstva vnitra č. 1/2012 a manuál ministerstva vnitra pro obce k zákonu o svobodném přístupu k informacím.
Zdroj: ÚOOÚ
V praxi jde nejčastěji o chybný postup spočívající v umístění celého dokumentu odpovědi (nebo zároveň i žádosti) na internetové stránky povinného subjektu či jeho naskenování bez začernění či jiné anonymizace adresních a jiných údajů žadatele.
V případě, že povinný subjekt volí variantu umístění celého dokumentu odpovědi (nebo i žádosti) na internetové stránky (tj. neumístí pouze samotnou poskytnutou informaci), je nutné věnovat pozornost i provedení správné anonymizace dokumentu, tak aby anonymizované informace nemohly být jednoduchým krokem zpřístupněny (např. prosté začernění textu v programu Word lze jednoduše uvést zpět do čitelného stavu).
Úřad v této souvislosti odkazuje na stanovisko ministerstva vnitra č. 1/2012 a manuál ministerstva vnitra pro obce k zákonu o svobodném přístupu k informacím.
Zdroj: ÚOOÚ
Zveřejňování informací o přítomnosti zaměstnanců obecního (městského) úřadu na pracovišti
Jednou z praktických otázek, týkajících se činností obcí, je zveřejňování stále většího množství informací z informačních systémů spravovaných obcemi, včetně výstupů ze systémů, které nejsou přímo určeny k výkonu veřejných služeb a k informování veřejnosti.
Úřad se v návaznosti na podnět, který obdržel, zabýval postupem města, které na svých webových stránkách zveřejňuje informace o přítomnosti zaměstnanců městského úřadu na pracovišti. To vše s odkazem na zajištění transparentnosti činnosti města a dostupnosti služeb občanům. V tomto konkrétním případě je vedle standardních informací o úředních hodinách a úředních osobách na webu zveřejněn jmenný seznam zaměstnanců městského úřadu s ukazatelem přítomnosti každé jednotlivé osoby na pracovišti (barevně je odlišeno, kdo je přítomen a kdo není) na základě informací automaticky přebíraných z docházkového systému.
Je nepochybně povinností obce zajistit veřejnou službu občanům, tj. výkon zákonem svěřené agendy, a to v úředních hodinách, které obec stanoví. Současně je nezbytné zajistit zastupitelnost odpovědných osob a informovat veřejnost o tom, kdy a jakým způsobem může vyřídit své záležitosti. Takto stanovený účel – informování veřejnosti o dostupnosti služeb – však lze primárně naplnit i bez zpracování osobních údajů z docházkových a personálních systémů, tedy bez zásahu do práva na ochranu soukromí zaměstnanců obce. K naplnění tohoto účelu zcela postačí informace, která oddělení či odbory jsou kompetentní k vyřízení určitého typu podání či žádosti. Naopak, nezbytné již nejsou informace o přítomnosti konkrétních zaměstnanců zařazených do těchto útvarů.
Zveřejnění informace o přítomnosti zaměstnance navíc nevede k vyšší informovanosti veřejnosti. Občan z uvedeného pouze zjistí, že konkrétní zaměstnanec je v danou chvíli přítomen v zaměstnání. Systém ovšem nezaručuje přítomnost zaměstnance po celou pracovní dobu, resp. po dobu úředních hodin, kdy se občané na úřad obracejí.
Na základě výše uvedeného zjištění je pak dle Úřadu opodstatněný závěr, že předmětné zpracování osobních údajů představuje nedůvodný zásah do práv subjektů údajů (zaměstnanců) na ochranu jejich osobního a soukromého života a není proto v souladu se základními zásadami vyjádřenými v čl. 5 obecného nařízení o ochraně osobních údajů. Informace o tom, že určitý zaměstnanec je či není právě v zaměstnání, nepochybně spadá do sféry osobního života tohoto zaměstnance. Zveřejnění této informace (nadto neomezenému okruhu příjemců) je pak nutno vždy zvážit a zdůvodnit nezbytnost takového kroku ve vztahu ke sledovanému účelu. Souhlas jako právní titul ke zpracování osobních údajů zaměstnanců zpravidla není v pracovněprávních vztazích vhodným právním titulem, a to s ohledem na nerovné postavení zaměstnance ve vztahu k zaměstnavateli, kdy svoboda udělení souhlasu může být často nedostatečná. Je také nutné zohlednit fakt, že s využitím dnes již běžně dostupných technologií umožňujících automatizovaná prohledávání a stahování obsahu webových stránek, je de facto umožněno dlouhodobé sledování a monitorování přítomnosti jednotlivých zaměstnanců, což míru zásahu do jejich práv významně zvyšuje.
Závěrem lze shrnout, že k zajištění výkonu veřejné správy a informování občanů o svých úředních agendách, disponuje obec řadou administrativních a informačních nástrojů, od zveřejnění statických informací o úředních hodinách a pracovních kontaktech až po automatizovaná zpracování objednávkových a dotazových formulářů. Automatické přebírání a zveřejnění osobních údajů z docházkového systému zaměstnanců však mezi takové nástroje (s ohledem na právo na ochranu soukromí a ochranu osobních údajů) nepatří.
Zdroj: ÚOOÚ
Úřad se v návaznosti na podnět, který obdržel, zabýval postupem města, které na svých webových stránkách zveřejňuje informace o přítomnosti zaměstnanců městského úřadu na pracovišti. To vše s odkazem na zajištění transparentnosti činnosti města a dostupnosti služeb občanům. V tomto konkrétním případě je vedle standardních informací o úředních hodinách a úředních osobách na webu zveřejněn jmenný seznam zaměstnanců městského úřadu s ukazatelem přítomnosti každé jednotlivé osoby na pracovišti (barevně je odlišeno, kdo je přítomen a kdo není) na základě informací automaticky přebíraných z docházkového systému.
Je nepochybně povinností obce zajistit veřejnou službu občanům, tj. výkon zákonem svěřené agendy, a to v úředních hodinách, které obec stanoví. Současně je nezbytné zajistit zastupitelnost odpovědných osob a informovat veřejnost o tom, kdy a jakým způsobem může vyřídit své záležitosti. Takto stanovený účel – informování veřejnosti o dostupnosti služeb – však lze primárně naplnit i bez zpracování osobních údajů z docházkových a personálních systémů, tedy bez zásahu do práva na ochranu soukromí zaměstnanců obce. K naplnění tohoto účelu zcela postačí informace, která oddělení či odbory jsou kompetentní k vyřízení určitého typu podání či žádosti. Naopak, nezbytné již nejsou informace o přítomnosti konkrétních zaměstnanců zařazených do těchto útvarů.
Zveřejnění informace o přítomnosti zaměstnance navíc nevede k vyšší informovanosti veřejnosti. Občan z uvedeného pouze zjistí, že konkrétní zaměstnanec je v danou chvíli přítomen v zaměstnání. Systém ovšem nezaručuje přítomnost zaměstnance po celou pracovní dobu, resp. po dobu úředních hodin, kdy se občané na úřad obracejí.
Na základě výše uvedeného zjištění je pak dle Úřadu opodstatněný závěr, že předmětné zpracování osobních údajů představuje nedůvodný zásah do práv subjektů údajů (zaměstnanců) na ochranu jejich osobního a soukromého života a není proto v souladu se základními zásadami vyjádřenými v čl. 5 obecného nařízení o ochraně osobních údajů. Informace o tom, že určitý zaměstnanec je či není právě v zaměstnání, nepochybně spadá do sféry osobního života tohoto zaměstnance. Zveřejnění této informace (nadto neomezenému okruhu příjemců) je pak nutno vždy zvážit a zdůvodnit nezbytnost takového kroku ve vztahu ke sledovanému účelu. Souhlas jako právní titul ke zpracování osobních údajů zaměstnanců zpravidla není v pracovněprávních vztazích vhodným právním titulem, a to s ohledem na nerovné postavení zaměstnance ve vztahu k zaměstnavateli, kdy svoboda udělení souhlasu může být často nedostatečná. Je také nutné zohlednit fakt, že s využitím dnes již běžně dostupných technologií umožňujících automatizovaná prohledávání a stahování obsahu webových stránek, je de facto umožněno dlouhodobé sledování a monitorování přítomnosti jednotlivých zaměstnanců, což míru zásahu do jejich práv významně zvyšuje.
Závěrem lze shrnout, že k zajištění výkonu veřejné správy a informování občanů o svých úředních agendách, disponuje obec řadou administrativních a informačních nástrojů, od zveřejnění statických informací o úředních hodinách a pracovních kontaktech až po automatizovaná zpracování objednávkových a dotazových formulářů. Automatické přebírání a zveřejnění osobních údajů z docházkového systému zaměstnanců však mezi takové nástroje (s ohledem na právo na ochranu soukromí a ochranu osobních údajů) nepatří.
Zdroj: ÚOOÚ
Zpracování politických názorů voličů pro kampaň je možné jen s jejich souhlasem
Úřad pro ochranu osobních údajů v souvislosti s nadcházejícími říjnovými volbami do Senátu a obecních zastupitelstev připomíná, že údaje vypovídající o politických názorech občanů patří do zvláštní kategorie osobních údajů, pro které GDPR (článek 9) stanovuje zákaz jejich zpracování s přísně stanovenými výjimkami.
„Využití osobních údajů ze sociálních sítí a komunikací na webových stránkách pro účely volební kampaně bez výslovného souhlasu voliče je porušením zásad GDPR (článek 5 odst. 1 písm. a) - zákonnost, korektnost a transparentnost),“ uvedla předsedkyně ÚOOÚ Ivana Janů.
Řada potencionálních voličů na sociálních sítích i jinde na internetu často bezděčně sděluje informace, které mohou o jejich politických názorech vypovídat, aniž by tím zamýšleli dát souhlas s dalším nakládáním (zpracováním) s těmito informacemi. Tyto projevy nelze za zjevné zveřejnění politických názorů využitelných ve volební kampani považovat (článek 9 odst. 2 písm. a) a e)).
Úřad připomíná, že již v minulosti umístil na svůj web postup, který má pomoci lidem při využívání služeb sociálních médií.
Zdroj: ÚOOÚ
„Využití osobních údajů ze sociálních sítí a komunikací na webových stránkách pro účely volební kampaně bez výslovného souhlasu voliče je porušením zásad GDPR (článek 5 odst. 1 písm. a) - zákonnost, korektnost a transparentnost),“ uvedla předsedkyně ÚOOÚ Ivana Janů.
Řada potencionálních voličů na sociálních sítích i jinde na internetu často bezděčně sděluje informace, které mohou o jejich politických názorech vypovídat, aniž by tím zamýšleli dát souhlas s dalším nakládáním (zpracováním) s těmito informacemi. Tyto projevy nelze za zjevné zveřejnění politických názorů využitelných ve volební kampani považovat (článek 9 odst. 2 písm. a) a e)).
Úřad připomíná, že již v minulosti umístil na svůj web postup, který má pomoci lidem při využívání služeb sociálních médií.
Zdroj: ÚOOÚ
ÚOOÚ poradí metodicky, řešení však hledat nemůže
„Častým omylem správců je, že přicházejí s popisem problému a chtějí po Úřadu (pro ochranu osobních údajů) komplexní řešení. Takto však dozorový úřad za správce konat nemůže. My nepečeme rohlíky, ale radíme s technologií, jak je péct,“ přirovnal chování některých správců osobních údajů Josef Prokeš, ředitel sekce správní ÚOOÚ při svém vystoupení na konferenci GDPR plus 180 dní.
Zdůraznil rovněž, že úkolem úřadu není trestat za prohřešky proti GDPR, ale zajistit konzultace a poskytovat rady v metodické oblasti. Už proto, že stále chybí doplňující legislativa, která by Nařízení EU 2016/679 zavedla do české legislativy.
Výrazně vzrostl počet podnětů a stížností
Prokeš se zmínil také o statistikách podnětů a stížností. Oproti roku 2017 eviduje úřad téměř dvojnásobný počet. Upozornil však, že: „Mnoho z nich se týká řešení soukromoprávních nároků dle občanského zákoníku, jejichž posuzování je mimo gesci ÚOOÚ.“
Souhlasů je zbytečně moc
„Trvalým tématem jsou nadbytečné souhlasy se zpracováním údajů. V České republice je přesouhlasováno. Úplně zbytečně, protože v mnoha případech je správci vyžadovat ani nesmí. Souhlasy mnohdy získávají dosti agresivním nebo zavádějícím způsobem, což je samozřejmě v rozporu s obecným nařízením,“ vyjádřil se Prokeš o oblasti, která je v popředí zájmu veřejnosti.
Chyby při nahlašování porušení zabezpečení
Josef Prokeš ve svém vystoupení také nastínil nedostatky, se kterými se Úřad pro ochranu osobních údajů u správců potýká při nahlašování porušení zabezpečení a ve specializované konzultační činnosti. „U případů tzv. ,data breaches' od správců vyžadujeme popis přijatých opatření a odhad důsledků porušení zabezpečení. Překvapivě dostáváme velmi málo kvalifikovaných žádostí o předběžnou konzultaci týkající se posouzení vlivu na ochranu osobních údajů,“ uvedl.
Chyby nemusí nutně znamenat pokutu
V dozorové činnosti se podle Prokeše úřadu velmi osvědčily vytýkací dopisy. Ty správce upozorní na chyby, ale ještě neznamenají a ani vždy automaticky nevedou k udělení pokuty. Co se samotné komunikace ohledně problematického zpracování týče, zdůraznil ředitel sekce správní potřebu férového, čestného a otevřeného jednání.
Zdroj: ÚOOÚ
Zdůraznil rovněž, že úkolem úřadu není trestat za prohřešky proti GDPR, ale zajistit konzultace a poskytovat rady v metodické oblasti. Už proto, že stále chybí doplňující legislativa, která by Nařízení EU 2016/679 zavedla do české legislativy.
Výrazně vzrostl počet podnětů a stížností
Prokeš se zmínil také o statistikách podnětů a stížností. Oproti roku 2017 eviduje úřad téměř dvojnásobný počet. Upozornil však, že: „Mnoho z nich se týká řešení soukromoprávních nároků dle občanského zákoníku, jejichž posuzování je mimo gesci ÚOOÚ.“
Souhlasů je zbytečně moc
„Trvalým tématem jsou nadbytečné souhlasy se zpracováním údajů. V České republice je přesouhlasováno. Úplně zbytečně, protože v mnoha případech je správci vyžadovat ani nesmí. Souhlasy mnohdy získávají dosti agresivním nebo zavádějícím způsobem, což je samozřejmě v rozporu s obecným nařízením,“ vyjádřil se Prokeš o oblasti, která je v popředí zájmu veřejnosti.
Chyby při nahlašování porušení zabezpečení
Josef Prokeš ve svém vystoupení také nastínil nedostatky, se kterými se Úřad pro ochranu osobních údajů u správců potýká při nahlašování porušení zabezpečení a ve specializované konzultační činnosti. „U případů tzv. ,data breaches' od správců vyžadujeme popis přijatých opatření a odhad důsledků porušení zabezpečení. Překvapivě dostáváme velmi málo kvalifikovaných žádostí o předběžnou konzultaci týkající se posouzení vlivu na ochranu osobních údajů,“ uvedl.
Chyby nemusí nutně znamenat pokutu
V dozorové činnosti se podle Prokeše úřadu velmi osvědčily vytýkací dopisy. Ty správce upozorní na chyby, ale ještě neznamenají a ani vždy automaticky nevedou k udělení pokuty. Co se samotné komunikace ohledně problematického zpracování týče, zdůraznil ředitel sekce správní potřebu férového, čestného a otevřeného jednání.
Zdroj: ÚOOÚ
Vystavené výkresy s podpisy autorů nejsou v rozporu s GDPR
Ochrana osobních údajů se týká osobních údajů zpracovávaných za konkrétním účelem. Tato informace zazněla již ve dvou předchozích textech. Teď si navíc vysvětlíme, jak výklad pojmu Zpracování osobních údajů ovlivňuje takové záležitosti, jako je například vystavení obrázků nakreslených jejími žáky v prostorách školy.
Ano, osobní údaje je třeba chránit. Zvláště internet představuje pro osobní údaje až příliš velké riziko. Vždy ve však nezbytné při úvahách o ochraně dat využívat velký dar, který nám matka příroda nadělila - vlastní rozum.
Ve své praxi neustále narážíme na situace, kdy ochrana osobních údajů, resp. její praktické důsledky přesahují hranici zdravého rozumu. V takových případech si vždy říkáme, zda záměrem GDPR skutečně bylo až tak výrazné omezení práva na informace. Zpravidla přitom docházíme k názoru, že nikoliv.
“Rádoby bohulibá snaha o vyšší ochranu soukromí extenzivním výkladem pojmu (zpracování osobních údajů) se dostává do konfliktu s právem na svobodu slova a informace. Výrazná nepřiměřenost poškozuje obě práva – minimálně tím, že vyvolává odpor veřejnosti,” upozorňuje ve svém článku Mysterium pojmu ‚zpracování‘. Nepochopení GDPR přineslo absurdní obavy [Lidovky.cz] vedoucí oddělení konzultací Úřadu pro ochranu osobních údajů Ladislav Hejlík a dodává: “Podepsané výkresy dětí nejsou automatizovanou operací ani výstupem z evidence – tou je školní matrika. Žádným takovým projevům GDPR nebrání.”
Ano, zveřejnit v prostorách školy či školky výkresy dětí i s jejich podpisy není v rozporu s GDPR. A totéž platí i v mnoha dalších situacích (soutěže, sportovní akce apod.). Pokud někdo s takovým krokem nesouhlasí a žádá odstranění jména konkrétního dítěte, je samozřejmě vhodné tuto žádost akceptovat. Nicméně platí, že tam, kde zdravý selský rozum říká “ano”, není nutné dlouho přemýšlet.
Zdroj: ÚOOÚ
Ano, osobní údaje je třeba chránit. Zvláště internet představuje pro osobní údaje až příliš velké riziko. Vždy ve však nezbytné při úvahách o ochraně dat využívat velký dar, který nám matka příroda nadělila - vlastní rozum.
Ve své praxi neustále narážíme na situace, kdy ochrana osobních údajů, resp. její praktické důsledky přesahují hranici zdravého rozumu. V takových případech si vždy říkáme, zda záměrem GDPR skutečně bylo až tak výrazné omezení práva na informace. Zpravidla přitom docházíme k názoru, že nikoliv.
“Rádoby bohulibá snaha o vyšší ochranu soukromí extenzivním výkladem pojmu (zpracování osobních údajů) se dostává do konfliktu s právem na svobodu slova a informace. Výrazná nepřiměřenost poškozuje obě práva – minimálně tím, že vyvolává odpor veřejnosti,” upozorňuje ve svém článku Mysterium pojmu ‚zpracování‘. Nepochopení GDPR přineslo absurdní obavy [Lidovky.cz] vedoucí oddělení konzultací Úřadu pro ochranu osobních údajů Ladislav Hejlík a dodává: “Podepsané výkresy dětí nejsou automatizovanou operací ani výstupem z evidence – tou je školní matrika. Žádným takovým projevům GDPR nebrání.”
Ano, zveřejnit v prostorách školy či školky výkresy dětí i s jejich podpisy není v rozporu s GDPR. A totéž platí i v mnoha dalších situacích (soutěže, sportovní akce apod.). Pokud někdo s takovým krokem nesouhlasí a žádá odstranění jména konkrétního dítěte, je samozřejmě vhodné tuto žádost akceptovat. Nicméně platí, že tam, kde zdravý selský rozum říká “ano”, není nutné dlouho přemýšlet.
Zdroj: ÚOOÚ
Sdělení předsedkyně ÚOOÚ k vyžadování souhlasu
Na základě poznatků z praxe a řady zveřejněných chybných interpretací se Úřad pro ochranu osobních údajů vrací k tématu vyžadování souhlasu a varuje veřejnost, že vyžadování souhlasu může být v řadě případů nadbytečné a v rozporu s obecným nařízením (GDPR).
Od účinnosti obecného nařízení jsou internet a e-mailové schránky lidí zaplaveny požadavky na udělení souhlasu se zpracováním osobních údajů. Tento stav potvrzují také stížnosti zasílané Úřadu pro ochranu osobních údajů.
Správci a zpracovatelé nadbytečně požadují po svých zákaznících –klientech souhlas se zpracováním osobních údajů v případech služeb, které jsou běžně poskytovány na základě zákona, smlouvy či jiného právního důvodu uvedeného v obecném nařízení. Jedná se například o poskytování bankovních či telekomunikačních služeb.
V těchto případech poskytnutí služby nesmí být vázáno na udělení souhlasu. Vyžadování souhlasu je proto nadbytečné, obtěžující a většinou i klamavé a zároveň je v rozporu s obecným nařízením.
Ani pokud je zpracování založeno na souhlasu a lidé od jeho udělení očekávají určité výhody, se zpracování nesmí přelít do stádia obchodování s osobními údaji a jejich přeprodávání. Soukromí člověka není obchodovatelnou komoditou.
Mnou řízený Úřad se při své dozorové činnosti bude důsledně zaměřovat na okolnosti získávání souhlasu a jeho náležitosti, zda byl získán v souladu s obecným nařízením, tzn. svobodně, informovaně, transparentně, nedvojznačně a poctivě v přístupu k zákazníkovi –zda klient věděl, k jakému účelu budou jeho osobní data použita a kým.
Zdroj: ÚOOÚ
Od účinnosti obecného nařízení jsou internet a e-mailové schránky lidí zaplaveny požadavky na udělení souhlasu se zpracováním osobních údajů. Tento stav potvrzují také stížnosti zasílané Úřadu pro ochranu osobních údajů.
Správci a zpracovatelé nadbytečně požadují po svých zákaznících –klientech souhlas se zpracováním osobních údajů v případech služeb, které jsou běžně poskytovány na základě zákona, smlouvy či jiného právního důvodu uvedeného v obecném nařízení. Jedná se například o poskytování bankovních či telekomunikačních služeb.
V těchto případech poskytnutí služby nesmí být vázáno na udělení souhlasu. Vyžadování souhlasu je proto nadbytečné, obtěžující a většinou i klamavé a zároveň je v rozporu s obecným nařízením.
Ani pokud je zpracování založeno na souhlasu a lidé od jeho udělení očekávají určité výhody, se zpracování nesmí přelít do stádia obchodování s osobními údaji a jejich přeprodávání. Soukromí člověka není obchodovatelnou komoditou.
Mnou řízený Úřad se při své dozorové činnosti bude důsledně zaměřovat na okolnosti získávání souhlasu a jeho náležitosti, zda byl získán v souladu s obecným nařízením, tzn. svobodně, informovaně, transparentně, nedvojznačně a poctivě v přístupu k zákazníkovi –zda klient věděl, k jakému účelu budou jeho osobní data použita a kým.
Zdroj: ÚOOÚ
Nezabezpečení osobních údajů, jejich zpřístupnění nepovolaným osobám
V rámci adekvátního zabezpečení, dle požadavků článku 32 GDPR, je nutné věnovat pozornost i pracovnímu prostředí zaměstnanců, ve vztahu k dokumentům, které mají ve své správě, zejména pokud je náplní jejich činnosti též styk s veřejností. Nemělo by docházet k situaci, kdy zaměstnanci, které v rámci výkonu činnosti navštěvuje veřejnost, mají na stole či jinde volně přístupné dokumenty, se kterými se může veřejnost nepovolaně seznámit. Za takovéto situace hrozí únik osobních údajů a informací.
Zdroj: ÚOOÚ
Zdroj: ÚOOÚ
Neoprávněné nahlížení úředníků do registrů (např. obyvatel)
Nahlížení do registrů, ke kterým má konkrétní zaměstnanec přístup, se musí dít za legitimním účelem, vyplývajícím z jeho pracovní činnosti při výkonu státní správy. Do registrů nelze nahlížet za účelem uspokojení vlastní zvědavosti či zjištění informací pro osobní účely (např. rodinné spory). Závažné zneužití údajů z registrů může mít za následek i spáchání trestného činu neoprávněného nakládání s osobními údaji dle § 180 zákona č. 40/2009 Sb., trestní zákoník..
Zdroj: ÚOOÚ
Zdroj: ÚOOÚ
Nedůvodné zpřístupňování již neaktuálních dokumentů obsahujících osobní údaje
Dokumenty obsahující osobní údaje by měly být veřejnosti přístupné k naplnění účelu zveřejnění dokumentu. Je nutné ověřit, zdali nejsou prostřednictvím internetových stránek zveřejňovány dokumenty, jejichž zveřejnění již nemá oporu např. ve zvláštním zákonu, či byl naplněn účel jejich zveřejnění.
V praxi se často stává, že sice správce dokument odstranil z viditelného rozhraní internetových stránek (neexistuje přímý odkaz na dokument), avšak z důvodu nedostatečného zabezpečení IT rozhraní je dokument stále vyhledatelný prostřednictvím vyhledávače, typicky po zadání jména + příjmení + město atd. Je tak nutné přijmout taková opatření, aby i po odstranění dokumentu z viditelného rozhraní internetových stránek nebyl dokument stále vyhledatelný vyhledávačem.
Zdroj: ÚOOÚ
V praxi se často stává, že sice správce dokument odstranil z viditelného rozhraní internetových stránek (neexistuje přímý odkaz na dokument), avšak z důvodu nedostatečného zabezpečení IT rozhraní je dokument stále vyhledatelný prostřednictvím vyhledávače, typicky po zadání jména + příjmení + město atd. Je tak nutné přijmout taková opatření, aby i po odstranění dokumentu z viditelného rozhraní internetových stránek nebyl dokument stále vyhledatelný vyhledávačem.
Zdroj: ÚOOÚ
K povinnosti jmenovat pověřence vybranými městskými a krajskými organizacemi
Úřad pro ochranu osobních údajů zveřejňuje podrobnější informace týkající se rozsahu povinnosti jmenovat pověřence některými městskými či krajskými organizacemi.
Povinnost jmenovat pověřence pro ochranu osobních údajů nepatří mezi povinnosti obecného nařízení uložené všem správcům a zpracovatelům osobních údajů. V čl. 37 odst. 1 GDPR je tato povinnost stanovena jen pro tři okruhy správců a zpracovatelů. Konkrétně podle charakteru správce či charakteru zpracování jde o případy, kdy:
1. zpracování provádí orgán veřejné moci či veřejný subjekt,
2. hlavní činnost spočívá v rozsáhlém pravidelném a systematickém monitorování subjektů údajů,
3. hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategorií osobních údajů (citlivých údajů) nebo osobních údajů týkajících se rozsudků v trestních věcech.
Z výše uvedeného nelze dovozovat, že povinnost jmenovat pověřence mají automaticky další organizace, které jsou zřizovány či přispívány veřejnými subjekty popsanými v písm. a), typicky městy či kraji.
Mezi zpracování, která nepodléhají povinnosti jmenovat pověřence, náleží běžné provozní činnosti domů dětí a mládeže, školních jídelen, muzeí, galerií, informačních center či zájmových spolků (např. dobrovolní hasiči obce, organizování volnočasových aktivit dětí a rodin).
Městům a krajům, které zřizují výše uvedené organizace nebo jim přispívají, lze doporučit zvážit, do jaké míry je nutné vynakládat prostředky na činnost dalšího (nepovinného) pověřence, namísto toho, aby takovým organizacím poskytovaly metodickou pomoc či konzultace prostřednictvím vlastního pověřence.
Zdroj: ÚOOÚ
Povinnost jmenovat pověřence pro ochranu osobních údajů nepatří mezi povinnosti obecného nařízení uložené všem správcům a zpracovatelům osobních údajů. V čl. 37 odst. 1 GDPR je tato povinnost stanovena jen pro tři okruhy správců a zpracovatelů. Konkrétně podle charakteru správce či charakteru zpracování jde o případy, kdy:
1. zpracování provádí orgán veřejné moci či veřejný subjekt,
2. hlavní činnost spočívá v rozsáhlém pravidelném a systematickém monitorování subjektů údajů,
3. hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategorií osobních údajů (citlivých údajů) nebo osobních údajů týkajících se rozsudků v trestních věcech.
Z výše uvedeného nelze dovozovat, že povinnost jmenovat pověřence mají automaticky další organizace, které jsou zřizovány či přispívány veřejnými subjekty popsanými v písm. a), typicky městy či kraji.
Mezi zpracování, která nepodléhají povinnosti jmenovat pověřence, náleží běžné provozní činnosti domů dětí a mládeže, školních jídelen, muzeí, galerií, informačních center či zájmových spolků (např. dobrovolní hasiči obce, organizování volnočasových aktivit dětí a rodin).
Městům a krajům, které zřizují výše uvedené organizace nebo jim přispívají, lze doporučit zvážit, do jaké míry je nutné vynakládat prostředky na činnost dalšího (nepovinného) pověřence, namísto toho, aby takovým organizacím poskytovaly metodickou pomoc či konzultace prostřednictvím vlastního pověřence.
Zdroj: ÚOOÚ
Na této stránce naleznte metodiky jednotlivých ministerstev a doporučení ÚOOÚ.
Úřad pro ochranu osobních údajů
- provádí dozor nad dodržováním zákonem stanovených povinností při zpracování osobních údajů;
- vede registr povolených zpracování osobních údajů;
- přijímá podněty a stížnosti občanů na porušení zákona;
- poskytuje konzultace v oblasti ochrany osobních údajů.
Komentáře, vyjádření a doporučení, která úřad vydá, jasně definují pravidla, podle kterých se ÚOOÚ bude řídit v podobných situacích.