Přístup k osobním údajům zaměstnanců se řídí přísnými pravidly. Nahlížet nebo dokonce upravovat osobní spisy mohou pouze vybraní pracovníci, kteří jsou k tomuto účelu pověřeni statutárním orgánem. Platí také, že pro uložení osobních údajů musí organizace použít vhodně zabezpečený úložný prostor. Ne vždy se však tato pravidla dodržují. Jeden z případů se týkal Energetického regulačního úřadu a chyby odhalil Úřad pro ochranu osobních údajů.

Kontrola proběhla na základě externího podnětu, ze kterého vyplývalo, že přístup k osobním údajům zaměstnanců neoprávněně získal jeden ze členů statutárního orgánu ERÚ. Osobní spisy si podle stěžovatelů tato osoba převzala ze mzdového a personálního oddělení a přenesla je do své kanceláře, kde měly být bez jakéhokoli zabezpečení volně uloženy v neuzamykatelných skříních.

Současně podle stěžovatelů docházelo i k neoprávněným přístupům do spisů a osobních spisů.

Při kontrole bylo zjištěno, že k přemístění spisů došlo v souvislosti s kontrolou personálních spisů, kterou měl pověřený člen statutárního orgánu provést. Kontrolovaná osoba však v souvislosti s přemístěním a následnou kontrolou personálních spisů nespecifikovala dostatečně určitě podmínky, za kterých má k přemístění a kontrole dojít (zabezpečení a podmínky pro přístup ke spisům, okruh osob oprávněných k přístupu ke spisům). Tím porušila povinnost podle § 13 zákona č. 101/2000 Sb. Osobní spisy kontrolovaného tak byly v období od srpna do listopadu 2017 vystaveny riziku přístupu neoprávněných osob.

Současně bylo zjištěno porušení povinnosti upravené v § 14 zákona č. 101/2000 Sb. ze strany člena statutárního orgánu pověřeného provedením kontroly personálních spisů, spočívající v manipulaci s konkrétními spisy nad rámec služebního úkolu.

Ze zprávy ÚOOÚ jednoznačně vyplynulo důležité poučení: Při zpracovávání osobních údajů (např. zaměstnanců) zdaleka nestačí pověření. Je rovněž třeba zajistit ochranu zpracovávaných osobních údajů, aby se k nim například nedostaly neoprávněné osoby. A principy ochrany by měly být stanoveny už v zadání pro pověření.