Výsledky kontrolní činnosti ÚOOÚ v oblasti ochrany osobních údajů za první pololetí roku 2019

Vážené dámy, vážení pánové,

dovolujeme si Vás touto cestou informovat o tom, že Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách výsledky své kontrolní činnosti v oblasti ochrany osobních údajů za první pololetí roku 2019. Ve svých zprávách Úřad zdůrazňuje zejména níže uvedené body.

Povinnosti správce

• Pokud se na určení jednoho účelu včetně prostředků zpracování podílí více správců, jsou společnými správci. Tito správci jsou mezi sebou povinni uzavřít dohodu, ve které vymezí své podíly na odpovědnosti a zejména na vyřizování žádostí subjektů údajů. O této dohodě správce musí subjekty údajů informovat.
• Je-li do zpracování zapojen zpracovatel, je s ním správce povinen uzavřít zpracovatelskou smlouvu.
• Žádost subjektu údajů, včetně odvolání souhlasu nebo vznesení námitky, je správce zásadně povinen vyřídit bez zbytečného odkladu, nejpozději do jednoho měsíce. Nevyřídí-li správce žádost včas nebo není-li s vyřízením subjekt údajů spokojen, může se obrátit na Úřad. Úřadu je nutno doložit žádost a případnou reakci správce na ni.
• Povinnost provedení vhodných technických a organizačních opatření pro zajištění odpovídající úrovně zabezpečení se vztahuje nejen na správce, ale i na zpracovatele.
• Při prodeji (části) závodu a zachování účelu zpracování je nový vlastník (části) závodu stejně jako jiný právní nástupce obecně oprávněn zpracovávat osobní údaje stejným způsobem jako předchozí vlastník.

Zabezpečení

• V návaznosti na posouzení rizik musí správce přijmout vhodná technická a organizační opatření.
• Úřad zdůrazňuje, že zpracovávání osobních údajů dětí je třeba věnovat vždy zvýšenou pozornost, protože patří mezi zranitelné subjekty údajů.
• Při předávání dokumentů obsahujících osobní údaje je nutné nastavit mechanismy dostatečné kontroly, aby nedošlo ke zpřístupnění dat neoprávněné osobě.
• Pokud dojde k porušení zabezpečení dat, zejména porušení týkající se rizikového zpracování zvláštních kategorií osobních údajů, a v případě, že se jedná o rozsáhlé plošné zpracování, Úřad dodržení nápravy a soulad s právními předpisy v budoucnu opětovně prověří.
• Kamerový systém nesmí nadměrně zasahovat do soukromí osob, přičemž monitorování vstupního prostoru do bytu či rodinného domu třetí osoby bude zpravidla považováno za zpracování, které neodpovídá zásadě minimalizace osobních údajů a pro které neexistuje právní titul (není-li jím souhlas subjektu údajů).

IT technologie

• Pořizování videozáznamů a fotografií a jejich uchovávání, pokud jsou zařazeny do evidence, zásadně podléhá režimu ochrany osobních údajů, včetně požadavků na řádné zabezpečení přístupu k těmto záznamům či fotografiím.
• Také využívání cookies může představovat zpracování osobních údajů. V takovém případě musejí být současně dodrženy také povinnosti vyplývající z GDPR.
• Také údaje o používání určitého zařízení, je-li toto zařízení jednoznačně identifikováno a jsou-li tyto údaje spojeny s jednoznačným identifikátorem, mohou ve svém souhrnu vést k identifikaci konkrétní fyzické osoby. Takové údaje jsou poté osobními údaji, a to i pokud identifikace subjektů údajů není prováděna a ani není záměrem správce.
• Biometrické technologie nejsou plnou náhradou jiných bezpečnostních řešení a samy o sobě větší bezpečnost nezajišťují, je nutné vhodně kombinovat biometrický systém s dalšími bezpečnostními opatřeními.

Práva subjektu údajů

• Proti zpracování osobních údajů založenému na právním titulu plnění právní povinnosti není možné vznést námitku a ani není možné zpracování ukončit a údaje vymazat před uplynutím doby, která je stanovena právními předpisy nebo na jejich základě jako doba nezbytná pro uchovávání údajů (zásada omezení uložení).
• Na žádost dle čl. 15 odst. 1 GDPR je žadateli nutné poskytnout mimo jiné informaci o konkrétních příjemcích osobních údajů. Kategorie příjemců lze poskytnout pouze tehdy, není-li identita příjemců správci (prozatím) známa.
• Právo na výmaz, které je také jinak nazýváno jako právo být zapomenut, není právem absolutním, ale uplatní se pouze tehdy, pokud nastane situace předvídaná čl. 17 GDPR.
• Právo na ochranu osobních údajů není právem absolutním. Zejména při zpracování osobních údajů pro novinářské účely je pak nezbytné právo na ochranu osobních údajů poměřovat především s právem na informace a svobodu projevu.

Námitky ze strany subjektu údajů

• Při domněnce, že jsou osobní údaje subjektu neoprávněně zveřejněny, doporučuje Úřad obrátit se na správce osobních údajů s žádostí o informace, příp. s žádostí o odstranění osobních údajů. Správce je povinen žádost vyřídit bez zbytečného odkladu, nejpozději do jednoho měsíce.
• V případě domněnky, že někdo zná osobní údaje subjektu, ačkoli by neměl, doporučuje Úřad zdokumentovat danou věc a uplatnit práva subjektu dle GDPR, zejména pak osobu, jež má data k dispozici, požádat o sdělení zdroje osobních údajů.
• Pokud panuje podezření, že osobní údaje subjektu nejsou zpracovávány v souladu s právními předpisy, doporučuje Úřad obrátit se s žádostí o vysvětlení a informace v první řadě na správce, který dané zpracování provádí.
• Při zjištění, že je na jméno subjektu veden bankovní účet, který subjekt nezaložil, doporučuje Úřad ihned kontaktovat danou bankovní instituci a následně, dle okolností, Policii ČR nebo Úřad.

Ostatní

• Úřad považuje zveřejnění osobních údajů dlužníků za nátlakové jednání, kterým jsou obvykle porušována základní práva a svobody subjektů údajů; zveřejnění pouze s předchozím souhlasem.
• Prodej a koupě databází s osobními údaji z neznámých zdrojů je nelegální.
• Přístup zaměstnavatele do e-mailové schránky bývalých zaměstnanců bez jejich souhlasu nemusí zpravidla oprávněným přístupem. Uvedené je vždy nutné posoudit s ohledem na nastavené interní předpisy.

V případě jakýchkoliv dotazů k této problematice jsme Vám k dispozici.

S úctou,

Petr Kůta

Petra Vodáková