Při zpracování osobních údajů je třeba dbát pravidel ochrany osobních údajů, a to nejen podle GDPR (v blízké budoucnosti zákona o zpracování osobních údajů), ale také podle zákona o ochraně osobních údajů (č. 101/2000 Sb.) - konkrétně § 13 odstavec 1 až 4.

Tento poznatek vyplývá z uzavřené kontroly zabezpečení osobních údajů, kterou na základě vnějšího podnětu provedl Úřad pro ochranu osobních údajů na územním pracovišti Finančního úřadu v Teplicích. Důvodem stížnosti bylo doručení exekučního příkazu na chybnou adresu, tedy jasně prokazatelní chyba.

Kontrola se podle sdělení úřadu zaměřila na posouzení toho, zda a v jaké míře byly dodrženy povinnosti, které kontrolované osobě, jako správci osobních údajů, vyplývají ze zákona č. 101/2000 Sb.

ÚOOÚ v rámci kontroly hodnotil interní předpisy kontrolované osoby upravující nakládání s dokumenty, postup při školení zaměstnanců, a to i ve vztahu k využívání automatizovaného daňového informačního systému. Prověřil také opatření přijatá k zajištění fyzické bezpečnosti prostor, kde jsou osobní údaje zpracovávány.

Ze zprávy o kontrole vyplývá: \"Úřad při kontrole zjistil, že kontrolovaná osoba přijala a realizovala dostatečná technicko-organizační opatření k zajištění bezpečnosti zpracovávaných osobních údajů. Předmětný incident tedy nebyl způsoben absencí či nedostatečností opatření na straně kontrolované osoby, ale pochybením zaměstnankyně kontrolované osoby.

Úřad tedy zjistil porušení § 14 zákona č. 101/2000 Sb. (zpracování za podmínek správcem stanovených), které ovšem není přestupkem. Takové pochybení zaměstnanců je řešeno v kárném či disciplinárním řízení v rámci pracovněprávního vztahu.\"

Kvalitní technicko-organizační opatření lze považovat za základní předpoklad ochrany osobních údajů. Správce osobních údajů se však neobejde bez náležitého proškolení a osvěty. Proto lze jednoznačně doporučit nejen administrativně zpracovat potřebná pravidla, ale také provést příslušná školení.