Informace pro zajímavost (z oblasti GDPR)

  • Úřad pro ochranu osobních údajů (ÚOOÚ) provádí kontroly:
    – na základě kontrolního plánu, který je vypracováván ve spolupráci s předsedou ÚOOÚ a schvalován na každý kalendářní rok;
    – incidenční, které jsou prováděny na základě podnětů a stížností subjektů údajů nebo na základě jiných podnětů (např. předání od dozorových úřadů jiných členských států EU, soudů, policie, upozornění ve sdělovacích prostředcích apod.);
    – na základě podnětu předsedy ÚOOÚ.
  • Poslanecká sněmovna schválila nová pravidla ochrany soukromí, která navazují na evropské Nařízení GDPR. Nový zákon má hlavně zavést přípustné výjimky z evropských pravidel. Maximální sankce za porušení zákona zůstala pro orgány veřejné správy na 10 mil. Kč. Horní sazba pokut pro malé obce byla omezena na 15 tisíc Kč. Schválena byla zároveň úprava výjimek pro média, nebo vědecké, výzkumné a statistické účely. Poslanci naopak odmítli snížit pod 15 let navrhovanou věkovou hranici, po jejímž dosažení by děti mohly samy naplno využívat sociální sítě. Poslanci však souhlasili s tím, aby se ÚOOÚ stal odvolacím správním orgánem pro případy, kdy úřady nevyhoví žádostem podle zákona o svobodném přístupu k informacím. Nový zákon o zpracování osobních údajů, který nyní dostane k projednání Senát, nahradí dosavadní zákon o ochraně osobních údajů.
  • ÚOOÚ bylo doručeno více než 16.500 oznámení o jmenování Pověřence pro ochranu osobních údajů a přes 200 zpráv o změně Pověřence nebo kontaktu na něj. Zajímavostí je, že velký počet z nich ustanovili správci čistě na dobrovolné bázi, tedy že jim to zákon vzhledem k jejich činnosti ani neukládá.
  • Kontrola ÚOOÚ zaměřená na zpracování osobních údajů má za cíl především zjistit faktický stav věci, ne vždy musí kontrola končit uložením pokuty. Finanční postih nemusí automaticky přijít ani v případě, že ÚOOÚ nějaký závadný stav u správce osobních údajů odhalí. GDPR obsahuje řadu nápravných pravomocí, které lze v případě zjištěného porušení uložit, např. udělení napomenutí nebo nařízení, aby správce vyhověl žádosti subjektu údajů o výkon práva dle GDPR.
  • ÚOOÚ obdržel od účinnosti Nařízení GDPR do konce října 2018 1993 stížností (statistika podnětů a stížností za jednotlivá období je uvedena na stránkách ÚOOÚ www.uoou.cz). Úřad eviduje především podněty týkající se telemarketingu, upozornění na formu a způsob vyžadování souhlasu ze strany některých správců a stížnosti týkající se zpracování, zejména zveřejňování (již dříve zveřejněných) osobních údajů na internetu. Jedná se zejména o další publikování údajů o podnikatelské činnosti fyzických osob v rejstřících provozovaných soukromými subjekty. ÚOOÚ zveřejnil na svých stránkách návod dotčeným osobám (subjektům údajů), jakým způsobem uplatnit u provozovatele předmětných databází a internetových stránek práva daná obecným nařízením.
  • ÚOOÚ za porušení Nařízení GDPR dosud neudělil pokutu, udělil pouze sankce za přestupky spáchané před účinností Nařízení GDPR. Nejvyšší sankce činila 1.500.000,- Kč a nejnižší 5.000,- Kč nebo napomenutí.
  • ÚOOÚ bude nyní s největší pravděpodobností řešit pochybení České školní inspekce, která nezabezpečila testovací aplikaci InspIS – bylo tak možné se za určitých okolností dostat k desítkám tisíc jmen a příjmení žáků a také k informaci, zda mají nějaké zdravotní znevýhodnění. Podle vyjádření ČSI se jednalo o technickou chybu při úpravách systému InspIS, kterou následná kontrola neodhalila. Po zjištění chyby byla data okamžitě zablokována a chyba byla odstraněna.
  • Úřad britského komisaře pro informace (Information Commissioner´s Office – ICO) udělil Facebooku pokutu 500.000,- liber za závažné porušení zákona na ochranu osobních údajů (za zpracování osobních dat uživatelů nekorektním způsobem mezi lety 2007 až 2014). Facebook umožňoval vývojářům aplikací přístup k datům uživatelů, aniž by od nich získal dostatečně jasný a informovaný souhlas. Navíc Facebook osobní údaje dostatečně nezabezpečil, neboť nekontroloval aplikace a vývojáře využívající tuto platformu (např. jedna vývojářská společnost získala přístup k osobním datům 87 milionů lidí po celém světě bez jejich vědomí, část těchto údajů pak později sdílela s Cambridge Analytica, svojí mateřskou společností).
  • Hackeři vyvěsili na internet soukromé zprávy 81 tisíc uživatelů Facebooku. Prozatím není zcela jasné, jak se hackerům podařilo ke zprávám dostat – podle Facebooku totiž nedošlo k narušení jejich bezpečnostního systému. Údaje tak pravděpodobně unikly prostřednictvím škodlivých rozšíření internetových prohlížečů. Ty už Facebook ve spolupráci s vývojáři prohlížečů nechal zneaktivnit. Kromě zpráv se na webových stránkách objevily také fotografie z dovolených a u dalších 176 tisíců účtů jsou dostupné e-mailové a telefonní kontakty. Jde převážně o uživatele Facebooku z Ukrajiny, Ruska, Velké Británie, USA a Brazílie.
  • Evropský parlament schválil Nařízení o volném pohybu neosobních dat (tj. neosobní data se již nemusí skladovat pouze v zemi, ve které byla získána), které vstoupilo v platnost 1.12.2018. Volný pohyb neosobních dat se vztahuje pouze na ty údaje, jež nevedou k identifikaci osob a které nemají vliv na soukromí fyzických osob. Nové nařízení EU zároveň pouze doplňuje obecné nařízení o ochraně osobních údajů (Nařízení GDPR), které platí od 25.5.2018. Pokud budou osobní a neosobní data zpracovávána společně, bude se GDPR vztahovat pouze na část o osobních údajích, zatímco na část o neosobních datech se použije nové Nařízení o volném pohybu dat. Nařízení se proto nepřekrývají, ale vzájemně doplňují.
  • Bytový fond ve Vídni v souladu s Nařízením GDPR vymění do konce roku 2018 tisíce jmenovek na zvoncích za prostá čísla bytů (na základě posouzení výkladu GDPR a doporučení tohoto opatření Odborem magistrátu pro ochranu osobních údajů). Pokud nájemník bude chtít si jmenovku na zvonku ponechat, musí tak udělat z vlastní vůle až poté, co budou jmenovky vyměněny za čísla bytů.
  • Právní nejistota subjektu co do postavení správce osobních údajů nemůže vést k odmítnutí poskytnutí informace (přístup subjektu údajů k informacím). V situaci, kdy organizace prokazatelně předmětnými osobními údaji disponuje, je její povinností si své právní postavení vyjasnit a poskytnout požadované informace o zpracování osobních údajů.
  • Ministerstvo financí ČR na základě provedené kontroly ÚOOÚ upravilo parametry registrace hráče v rámci účtenkové loterie (dle zákona č. 112/2016 Sb., o evidenci tržeb) – v současné době již není nezbytné při registraci zadávat daňové identifikační číslo.
  • Finančnímu úřadu byla udělena pokuta ve výši 5.000,- Kč za doručení dokumentů osobě bez datové schránky do datové schránky jiného daňového subjektu. K záměně došlo z důvodu shody jména, příjmení a data narození u dvou daňových subjektů.
  • Městskému úřadu byla udělena pokuta ve výši 20.000,- Kč v souvislosti s pochybením při vydávání parkovacích karet městem (parkovací karty nepřenosné vydané pro jedno vozidlo a parkovací karty přenosné vydané na jméno a použitelné pro libovolné vozidlo). Na parkovacích kartách byly uvedeny nadbytečné osobní údaje – u nepřenosné parkovací karty jméno, příjmení a trvalé bydliště, u přenosné parkovací karty trvalé bydliště a registrační značka vozidla.
  • V rámci městského úřadu bylo zjištěno pochybení zaměstnance při doručování zprávy do datové schránky jiné osoby. Vzhledem ale k tomu, že městský úřad neprokázal, že by byl zaměstnanec řádně poučen o svých povinnostech v oblasti ochrany osobních údajů, nese odpovědnost za zpřístupnění osobních údajů doručením zásilky do datové schránky jiné osoby městský úřad.
  • Byla udělena pokuta ve výši 6.000,- Kč školskému zařízení z důvodu porušení zákona č. 101/2000 Sb., o ochraně osobních údajů – škola zpřístupnila osobní údaje studentů v souvislosti s prověřováním údajného incidentu mezi studenty (škola zaslala spolužákům elektronickou poštou výzvu k vyjádření, která obsahovala popis incidentu a identifikaci osob, které se jej měly zúčastnit), a to bez souhlasu dotčených studentů. Účelem zaslání předmětné výzvy bylo získání svědectví dalších osob v souvislosti se zahájením správního řízení o vyloučení studenta ze školy a šetřením rozporných tvrzení účastníků incidentu.
  • Mateřská škola zveřejnila na nástěnce v budově školky seznam dětí, které měly nedoplatky za předškolní vzdělávání a stravné, a seznam dětí, které se nedostavily k zápisu k předškolnímu vzdělávání (porušení § 5 odst. 2 zákona č. 101/2000 Sb.). Mateřská škola tedy zpřístupnila osobní údaje dětí i třetím osobám, tj. nepřijala taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. ÚOOÚ od uložení pokuty upustil, protože mateřská škola závadný stav neprodleně napravila.
  • Mateřská škola nesprávně zpracovávala osobní údaje při vstupu osob do budovy – mateřská škola provozovala elektronický vstupní systém založený na systematickém snímání a zpracování otisků (biometrický údaj) a nedisponovala souhlasem ke zpracování předmětných osobních údajů. ÚOOÚ od uložení pokuty upustil, protože mateřská škola závadný stav neprodleně napravila.
  • Za účelem předcházení šikany, ochrany majetku školy, ochrany zdraví zaměstnanců a žáků provozovalo školské zařízení kamerový systém se záznamem, který byl nainstalovaný ve všech veřejných prostorách školy (vč. jednotlivých učeben) a byl provozovaný nepřetržitě, a to bez souhlasu subjektů údajů se zpracováním osobních údajů. ÚOOÚ při kontrole vyhodnotil, že školské zařízení provozuje kamerový systém v rozporu s povinností správce osobních údajů dle § 5 odst. 2 zákona č. 101/2000 Sb., neboť jí nesvědčí žádný z právních titulů opravňující ji ke zpracování osobních údajů. Přičemž i s ohledem na zjištěný rozsah monitorování a skutečnost, že u školského zařízení nedošlo k žádnému negativnímu jednání před ani po instalaci kamerového systému, byl v daném případě zásah do soukromí výrazně vyšší než deklarovaný účel zpracování osobních údajů. Školské zařízení tedy ukončilo nahrávání záznamů a kamerový systém provozuje pouze v on-line režimu.
  • Provozovateli centrálního registru dlužníků (CERD) bude uložena pokuta z důvodu nezákonného nakládání s osobními údaji. Kontrola ÚOOÚ identifikovala u systému CEDR tato porušení:
    – zpracování nepřesných a nadbytečných osobních údajů, navíc v řadě případů i bez právního titulu;
    – absence zpracovatelské smlouvy mezi správcem osobních údajů a zpracovatelem osobních údajů;
    – subjekty údajů nejsou informovány dostatečným způsobem o tom, kdo je správce osobních údajů a jak mohou uplatňovat svá práva;
    – nepodání informace o zpracování osobních údajů;
    – nesplnění požadavku subjektu údajů na podání vysvětlení či na odstranění osobních údajů;
    – část systému CERD, která se týká překlápění insolvenčního rejstříku a vkládání nových, nikým neověřovaných dlužníků a dluhů, je neoprávněným zásahem do soukromého života jednotlivých subjektů údajů;
    – využití podrobností elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas;
    – šíření obchodních sdělení, která nebyla jako obchodní sdělení řádně označena a která skrývala či utajovala totožnost odesílatele, jehož jménem se komunikace uskutečnila;
    – odeslání obchodních sdělení navíc probíhalo bez platné adresy, na kterou by adresát mohl přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu tato sdělení byla dále zasílána.
  • Společnosti s ručením omezeným byla udělena pokutu ve výši 835.000,- Kč za porušení zákona č. 480/2004 Sb., o některých službách informační společnosti, jelikož adresáti obchodních sdělení nedali společnosti předchozí souhlas k využití jejich elektronického kontaktu za účelem šíření obchodních sdělení.
  • Soukromé společnosti byla udělena pokuta ve výši 2.000,- Kč za zaslání dopisů seniorům, kteří čerpali některé ze sociálních služeb, s nabídkou, že jim daná společnost bude doživotně poskytovat sociální služby (péče, stravování, doprovod apod.), pokud na ni převedou vlastnické právo k nemovité věci (osobní údaje seniorů společnost shromažďovala z katastru nemovitostí a dále je zpracovávala pro své obchodní účely).
  • Společnosti Internet Mall, a.s. byla udělena pokuta 1,5 mil. Kč za nezabezpečení osobních údajů nejméně 735.956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, příp. telefon, před neoprávněným přístupem v období minimálně od 31.12.2014 do srpna 2017. V důsledku toho došlo v době od 27.7.2017 do 25.8.2017 ke zpřístupnění uvedených osobních údajů na serveru Uložto.cz.
  • Twitter čelí prvnímu vyšetřování kvůli porušení GDPR. Irské úřady zahájily vyšetřování sítě, protože měla nedovoleně shromažďovat data přes svoji službu pro zkracování odkazů t.co.
  • Klient banky zapříčinil neoprávněné zasílání e-mailových zpráv (předávání bankovních informací mezi bankou a klientem) na adresu třetí osoby, když při uzavření smlouvy uvedl nesprávně svou e-mailovou adresu, přičemž tato e-mailová adresa patřila jiné osobě, která nebyla klientem banky. Třetí osoba, poté co obdržela několik e-mailů, na chybu upozornila banku, ovšem ta toto upozornění nesprávně vyhodnotila jako reklamaci služeb a k nápravě chyby došlo až na základě kontroly ÚOOÚ.
  • Zdravotnickému subjektu byla uložena pokuta ve výši 10.000,- Kč z důvodu nepřijetí dostatečných technicko-organizačních opatření k zabezpečení ochrany osobních údajů, a to zejména v souvislosti s přístupem osob k datové schránce a při ukládání dokumentů doručovaných do datové schránky.
  • I přes přijetí a realizaci dostatečně technicko-organizačních opatření k zajištění bezpečnosti zpracovávaných osobních údajů došlo v rámci zdravotnického zařízení k zaslání elektronické zprávy obsahující osobní údaje potencionálního klienta na e-mailovou adresu jiného klienta. Předmětný incident tedy nebyl způsoben absencí či nedostatečností opatření na straně zdravotnického zařízení, ale pochybením na straně zaměstnankyně (zaměstnankyně i přes zákaz zdravotnického zařízení vyřizovala dvě věci souběžně a v důsledku toho si otevřela dvě okna aplikace Outlook).
  • Byla udělena pokuta přes 800.000,- Kč za nevyžádanou reklamu.
  • Ústavní soud zrušil část zákona o EET a rozhodl, že DIČ se na účtenkách již nebude objevovat.
  • Britská základní škola porušila zabezpečení osobních údajů ztrátou flash disku, který obsahoval kompletní databázi více než 1.000 žáků.
  • Došlo k rozeslání až 2.500 výzev nesprávným adresátům jakožto výzva k zaplacení pokuty od pražského magistrátu za spáchání dopravního přestupku.
  • Po několika dnech GDPR v účinnosti čelí Facebook a Google žalobě za 200 miliard Kč.
  • Dle Soudního dvora EU je správce facebookové skupiny spoluodpovědný za zpracování údajů návštěvníků skupiny.
  • Praxe volání pacientů podle příjmení v čekárně není v rozporu s GDPR.

Kompletní informace z oblasti ochrany osobních údajů naleznete zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).