Nejaktuálnější zprávou z Úřadu pro ochranu osobních údajů je postup ve věci zpracování osobních údajů v systému Centrálního registru dlužníků České republiky (CERD).

Registr se tváří jako oficiální databáze, avšak provozovatel má sídlo v USA, nemá relevantní data ani partnery. Čerpá z veřejně dostupných databází a případně získává údaje od lidí a firem, kteří se v něm zaregistrovali. Například finanční instituce výpis pořízený z tohoto registru neuznávají, protože provozují vlastní systémy (Bankovní registr klientských informací, Nebankovní registr klientských informací či SOLUS).

Úřad v loňském roce ukončil kontrolu systému CERD a následně zahájil řízení o přijetí nápravných opatření. Správce systému však uložená opatření neprovedl. Úřad se tedy obrátil na poskytovatele služeb pro systém CERD a podařilo se mu vymoct znepřístupnění webové stránky CERD. Správce systému si však zajistil nového poskytovatele služeb, jímž se stala indická společnost, která IP adresy pro systém CERD hostuje na území Ruské federativní republiky. Protiprávní obsah tak dál figuruje na internetu a Úřad přišel o možnost ovlivnit jeho stažení nebo znepřístupnění. Nyní Úřad zahájil řízení o sankci za nepřijetí opatření k nápravě.

Zdroj: www.uoou.cz

Je tomu více než rok, od účinnosti GDPR. Zatímco rok před zavedením nasbíral Úřad pro ochranu osobních údajů 2385 podnětů, za rok od účinnosti jich přišlo 3851. Dle sdělení Úřadu se stížnosti nejčastěji týkají získávání souhlasu, nerespektování práv subjektů údajů, nevyžádaných obchodních sdělení, telemarketingu, zveřejňování osobních údajů na internetu a kamerových systémů. Úřad eviduje 38 ukončených kontrol, mezi nimiž bylo v 16 případech zjištěno porušení zákona o ochraně osobních údajů.

Zdroj: www.uoou.cz

Úřad pro ochranu osobních údajů udělil již 9 pokut. Na základě zákona o svobodném přístupu k informacím zveřejnil pravomocná rozhodnutí/příkazy, z kterých lze odvodit, že postup úřadu je vskutku mírný a pokuty nejsou likvidační, ostatně jak bylo dříve proklamováno.

Správci osobních údajů byli v některých případech nejprve vyzváni k nápravě a až po jejich nečinnosti přistoupil Úřad k udělení pokuty. Jednalo se o případy neoprávněného zveřejnění osobních údajů, nesplnění informační povinnosti a o pozdní reakci na žádost o opravu osobních údajů. Dále z jednotlivých příkazů vyplývá, že se nevyplácí záměrně zkreslovat skutečnosti, a že správce osobních údajů může dostat pokutu, i když k žádnému bezpečnostnímu incidentu nedošlo.

Chcete-li se dozvědět, zač byly pokuty uděleny, v jaké výši a jaký byl postup Úřadu, navštivte naše webové stránky, kde je všech devět případů shrnuto. Více zde.

Zdroj: www.uoou.cz

Úřad pro ochranu osobních údajů zveřejnil kontrolní plán na rok 2019. Tedy možné typy zpracování osobních údajů, na které se bude především zaměřovat:

	plnění povinností při zpracování osobních údajů, včetně zvláštních kategorií údajů – otisků prstů při provozování hazardních her,
	zpracování osobních údajů (odebraných vzorků) zdravotnickým zařízením,
	zpracování osobních údajů při používání cookies,
	zpracování osobních údajů v aplikacích resp. informačních systémech využívaných zdravotnickými zařízeními,
	zabezpečení osobních údajů u zpracovatele osobních údajů,
	zpracování osobních údajů společností vyvíjející a provozující mobilní aplikace,
	zpracování osobních údajů v souvislosti s kontrolami jízdních dokladů, navazujícím zpracování osobních údajů a v souvislosti s nákupem časových jízdenek,
	zpracování osobních údajů žadatelů o uzavření smlouvy o úvěr při jejím sjednávání online,
	zpracování související s rozvojem digitalizace služeb, které občanům poskytují orgány veřejné správy,
	zpracování osobních údajů prováděného buď přímo politickými subjekty, nebo za ně, a to se zaměřením jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo ni,
	zpracování genetických údajů jako zvláštních kategorií údajů u společnosti specializující se na testování DNA.

 

Zdroj: www.uoou.cz

Pro naše zákazníky je z výčtu kontrolního plánu nejvíce riziková oblast zpracovatelů, jež pro ně osobní údaje nějakým způsobem zpracovávají. Typicky se jedná o externí dodavatele služeb (např. účetní, personalistka, správce IT, SW služby atd.)

Víte jak a zda vůbec váš zpracovatel zabezpečil osobní údaje, které mu předáváte? Víte, že za zabezpečení osobních údajů odpovídáte vy jako správce? Máte ve zpracovatelské smlouvě podchycenu oblast ochrany osobních údajů v souladu s GDPR? V České republice už máme případ správce osobních údajů, který si „neohlídal“ svého zpracovatele a byl za nedostatečné zabezpečení osobních údajů pokutován.

Představují-li pro Vás zpracovatelé noční můru a nejste si jisti, zda máte osobní údaje dostatečně zabezpečeny, obraťte se na nás. Provedeme analýzu aktuálního stavu a navrhneme vhodná řešení nebo pomůžeme s jejich implementací.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Neváhejte nás kdykoliv kontaktovat

Pročetli jsme všech devět zveřejněných rozhodnutí a příkazů Úřadu pro ochranu osobních údajů. Níže naleznete přehled čeho se pokuty týkaly a jaký byl v kostce postup Úřadu.

Zdroj: www.uoou.cz

 

Případ 1
Porušení	Správce osobních údajů (škola) od roku 2017 do současnosti zveřejňuje prostřednictvím sociální sítě Facebook na svém profilu osobní údaje bývalé zaměstnankyně v rozsahu jméno, příjmení, titul a fotografie a to i přes opakovanou výzvu k jejich odstranění.
Pokuta	10.000 Kč
Důvod zahájení řízení	Podnět na ÚOOÚ zaslala bývalá zaměstnankyně e-mailem poté, co 2x e-mailem požádala správce osobních údajů o odstranění svých osobních údajů z facebookových stránek.
Průběh řízení	Úřad zaslal správci osobních údajů upozornění na porušení povinností při zpracování osobních údajů s poučením o neoprávněnosti zveřejní a příkazem na odstranění uvedených osobních údajů. Správce však nijak nereagoval. Následně byla správci zaslána datovou schránkou výzva k neprodlené nápravě protiprávního stavu. Opět bez reakce. Následoval telefonát s upozorněním, že byla zaslána datová zpráva, která nebyla vyzvednuta. K odstranění osobních údajů z facebookového profilu ani poté nedošlo.

Případ 2
Porušení	Správce osobních údajů klientů (autopůjčovna) neposkytl informaci o zpracování osobních údajů prostřednictvím GPS lokátorů, které byly umístěny v motorových vozidlech, jež pronajímal. Dále nebyly poskytnuty informace o správci osobních údajů, o účelech zpracování, době uložení osobních údajů, o dalších příjemcích a právním základu pro zpracování atd.
Pokuta	30.000 Kč
Důvod zahájení řízení	Podnět na ÚOOÚ zaslal klient autopůjčovny poté, co upozorňoval na nedostatky na autě a zaměstnanec autopůjčovny mu následně udělil smluvní pokutu za překročení povolené rychlosti, přičemž při pronájmu vozidla nebyla nikde uvedena informace, že je vozidlo sledováno pomocí GPS.
Průběh řízení	Byla provedena kontrola na místě na jejímž základě Úřad uvedl, že správce osobních údajů nesplnil informační povinnost stanovenou GDPR, neboť o zpracování údajů získaných prostřednictvím GPS lokátorů neinformoval zákazníky vůbec a ve vztahu k ostatním zpracováním (tj. zejména zpracování za účelem splnění smlouvy) informoval zcela nedostatečně.

Případ 3
Porušení	Správce osobních údajů osob zaregistrovaných na internetové adrese (provozovatel online hry) neuzavřel se zpracovatelem osobních údajů smlouvu o zpracování osobních údajů dle GDPR. Dále správce osobních údajů nezajistil osobní údaje hráčů (hráčské jméno, heslo, ID herního účtu, e-mailová adresa, IP adresa) provozované online hry, v důsledku čehož došlo ke zveřejnění těchto údajů na internetu po dobu cca 30 minut.
Pokuta	15.000 Kč
Důvod zahájení řízení	Správce – provozovatel online hry zaslal Úřadu pro ochranu osobních údajů ohlášení porušení zabezpečení osobních údajů s tím, že následky úniku databáze jsou dost možná nulové. Dále správce uvedl, že se jednalo o zneužití ze strany programátora, který údajně data stáhl a poslal konkurenci s tím, že zveřejnění na internetu provedl neznámý pachatel. Správce údajně již podnikl kroky vedoucí k tomu, že se nic podobného nebude opakovat. Úřad dále obdržel podnět od fyzické osoby (provozovatele obdobné hry), která uvedla, že zveřejněnou databázi viděla, upozornila provozovatele, a že už údaje nejsou nikde k dispozici.
Průběh řízení	V průběhu řízení bylo zjištěno, že do zpracování osobních údajů byl zapojen další zpracovatel, který data zálohoval na své soukromé cloudové úložiště, čímž došlo k řetězení zpracovatelů, avšak příslušné zpracovatelské smlouvy nebyly uzavřeny. Vše se dělo s plným vědomím správce osobních údajů. Dále měla být uzavřena zpracovatelská smlouva s programátorem v souladu s GDPR. Byla uzavřena pouze smlouva o dílo, která postrádala ustanovení, jež by bylo možno považovat za zpracovatelskou smlouvu. Neznámý pachatel zveřejnil data, jež získal ze zmíněného soukromého cloudového úložiště zpracovatele. Správce osobních údajů nepřijal taková opatření, aby nemohlo dojít k nahodilému či neoprávněnému přístupu k jím zpracovávaným osobním údajům.

Případ 4
Porušení	Správce osobních údajů klientů (zprostředkovatel spotřebitelského úvěru) nezajistil osobní údaje cca 300 klientů v rozsahu jméno, příjmení, rodné číslo, číslo OP, adresa bydliště, telefonní číslo a informace o úvěru. Kopie smluv o spotřebitelském úvěru byly volně uloženy v papírové krabici v prostorách společných garáží bytového domu po dobu minimálně 14 dnů a následně nalezeny v kontejneru.
Pokuta	30.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč
Důvod zahájení řízení	Správce osobních údajů zaslal Úřadu pro ochranu osobních údajů ohlášení porušení zabezpečení osobních údajů přibližně 80 klientů. ÚOOÚ obdržel také popis skutečností zjištěných Policí České republiky.
Průběh řízení	Správce osobních údajů nedostatečně vyhodnotil rizika pro práva a svobody svých klientů, a ani nepřijal odpovídající bezpečnostní opatření k jejich ochraně, když ponechal krabici s dokumenty volně uloženou v prostorách společných garáží bytového domu, kde k nim měl přístup kdokoli z obyvatel domu. Následně byla krabice nalezena v kontejneru, kam ji odnesla neznámá osoba. Při stanovení sankce bylo přihlédnuto i k přitěžující okolnosti, že správce uvedl zavádějící informaci týkající se počtu odcizených dokumentů s osobními údaji. Ohlásil totiž ztrátu přibližně 80 smluv, ale ve skutečnosti krabice obsahovala smluvní dokumentaci více jak 300 klientů.

Případ 5
Porušení	Správce osobních údajů stěžovatelky neposkytl i přes její žádost žádné informace o zpracování jejích osobních údajů.
Pokuta	10.000 Kč
Důvod zahájení řízení	Stěžovatelka zaslala Úřadu pro ochranu osobních údajů podnět, že správce osobních údajů nevymazal na její žádost její osobní údaje ze svých webových stránek a dále jí i přes její žádost neposkytl informace o zpracování jejích osobních údajů.
Průběh řízení	Správci osobních údajů byla správním orgánem zaslána výzva k nápravě, tedy odstranění informací z webových stránek a poskytnutí stěžovatelce informace týkající se zpracování jejích osobních údajů. Osobní údaje byly z webových stránek odstraněny, avšak stěžovatelka žádné informace neobdržela. Následně byla správci osobních údajů odeslána výzva ke sdělení, jaké informace o zpracování osobních údajů byly stěžovatelce poskytnuty a k doložení tohoto sdělení. Správce však nereagoval.

Případ 6
Porušení	Správce osobních údajů stěžovatelů neposkytl i přes jejich žádost žádné informace o zpracování jejich osobních údajů.
Pokuta	20.000 Kč
Důvod zahájení řízení	Stěžovatel 1 podal podnět Úřadu pro ochranu osobních údajů, jelikož byl správcem kontaktováni v rámci monitorovaného hovoru avšak na jeho opakovanou žádost neobdržel informace o zpracování svých osobních údajů (konkrétně o tom, kde byl získán telefonický kontakt). Stěžovatel 2 byl kontaktováni i poté, co zaslal správci žádost k výmazu osobních údajů.
Průběh řízení	Správci byla zaslána výzva k neprodlené nápravě protiprávního stavu a to tím, že poskytne stěžovatelům požadované informace, což se nestalo.

Případ 7
Porušení	Zřizovatel odštěpného závodu, jakožto správce osobních údajů klientů, zpracovával při uzavírání smluv s klienty týkajících se poskytování úvěru v elektronické podobě za účelem uzavření a uchování smluvní dokumentace a zjednodušení tohoto procesu též biometrický podpis klientů, který nebyl nezbytný pro uzavření příslušné smlouvy ani pro její plnění. Dále uchovával veškeré záznamy telefonních hovorů s klienty, kteří s ním měli uzavřenou rámcovou smlouvu o poskytování bankovních produktů a služeb nebo smlouvu o úvěru, a to po celou dobu trvání smlouvy a dále po dobu dalších 10 let od splnění veškerých závazků klienta.
Pokuta	250.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč
Důvod zahájení řízení	Podkladem pro zahájení řízení je protokol o provedené kontrole odštěpného závodu podle zákona o kontrole a zákona o ochraně osobních údajů na základě kontrolního plánu Úřadu pro rok 2018. Kontrolovaným účastníkem byl odštěpný závod zahraniční banky, který jako takový nemá právní osobnost, proto je účastníkem řízení společnost, která je zřizovatelem tohoto odštěpného závodu (resp. společnost, která prostřednictvím něj podniká na území České republiky).
Průběh řízení	Správce osobních údajů nedodržel základní zásadu minimalizace údajů, když shromažďoval a následně uchovával biometrické podpisy svých klientů a dále uchovával zvukové záznamy veškerých telefonních hovorů s klienty po dobu delší, než je nezbytné pro účely, pro které jsou zpracovávány, přičemž správce žádným způsobem nerozlišoval, zda během hovoru s klientem došlo k uskutečnění obchodu či se jednalo pouze o hovor informativního charakteru/poradenství. (Doklady o uskutečněných obchodech jsou banky a pobočky zahraničních bank povinny uschovávat po dobu nejméně 10 let.)

Případ 8
Porušení	Správce osobních údajů (poskytovatel bankovních služeb) použil osobní údaje subjektu údajů, která byla vedena jako statutární orgán klienta tohoto správce, k založení běžného účtu na jeho jméno, a to bez jeho vědomí. Osobní údaje byly protiprávně zpracovávány až do doby, kdy byl účet zrušen. Správce porušil zásadu zákonnosti, korektnosti a transparentnosti, použil osobní údaje pro nelegitimní účely a ve vztahu k založení a vedení běžného účtu nezajistil dostatečnou kontrolu dodržování vnitřních předpisů upravujících zabezpečení osobních údajů.
Pokuta	80.000 Kč
Důvod zahájení řízení	Podkladem pro vydání příkazu je protokol o kontrole podle zákona o kontrole a GDPR.
Průběh řízení	Zpracování osobních údajů za účelem založení běžného účtu nelze považovat za korektní ani zákonné, neboť subjekt údajů neuzavřel se správcem osobních údajů smlouvu o zřízení běžného účtu ani o jeho založení nevěděl. Správce osobní údaje zpracovával pro jiný účel, než k jakému byly použity, čímž porušil zásadu účelového omezení. Dále u správce chybí kontrola dodržování interních předpisů, tedy nebylo zajištěno dodržování zavedených technických a organizačních opatření vzhledem k tomu, že správce na existenci vedeného účtu přišel až na základě stížnosti subjektu údajů. Závažnost jednání je zvýšena skutečností, že protiprávní jednání trvalo delší dobu (cca 1 rok a 5 měsíců), a že obviněný je bankou, tedy profesionálem v oboru, kde dochází k rozsáhlému zpracování osobních údajů.

Případ 9
Porušení	Správce osobních údajů (obecně prospěšná společnost) neposkytl svému zaměstnanci i přes jeho e-mailovou žádost žádné informace o zpracování jeho osobních údajů.
Pokuta	5.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč
Důvod zahájení řízení	Podkladem pro zahájení řízení byly podněty stěžovatele doručené Úřadu. Stěžovatel od svého zaměstnavatele obdržel potvrzení o zdanitelných příjmech ze závislé činnosti plynoucích na základě dohod o provedení práce, v nichž bylo vyplněno chybné rodné číslo, nebyla vyplněna adresa bydliště a byly uvedeny další nepřesnosti. Stěžovatel žádal o opravu nepřesných a chybných údajů, jeho žádosti však nebylo vyhověno do termínu odevzdání daňového přiznání finančnímu úřadu.
Průběh řízení	Úřad zaslal správci osobních údajů výzvu k uvedení operací do souladu s GDPR s tím, že pokud subjekt údajů uplatní své právo na opravu osobních údajů, pak je správce povinen opravit jeho osobní údaje bez zbytečného odkladu. Následně stěžovatel zaslal zaměstnavateli žádost o opravu svých osobních údajů a o vystavení opravených potvrzení, což se nestalo. Správní orgán tedy zaslal správci osobních údajů výzvu k neprodlené nápravě protiprávního stavu s tím, že správce měl správní orgán neprodleně informovat o provedené nápravě a tuto skutečnost doložit. Reakce se dostavila až po stanoveném termínu.

 

Dočkali jsme se! Adaptační zákon k GDPR byl dne 24. 4. 2019 vyhlášen ve Sbírce zákonů, čímž nabyl účinnosti. Celé znění zákona č. 110/2019 Sb., o zpracování osobních údajů, lze nalézt zde.

Zákon upravuje a zpřesňuje Obecné nařízení o ochraně osobních údajů (GDPR), které platí pro jednotlivé členské státy EU automaticky. Zajímá Vás, jaké výjimky se podařilo prosadit? Přinášíme přehled, z našeho pohledu, těch nejdůležitějších:

Při zajišťování chráněného zájmu státu není správce povinen posuzovat před zpracováním osobních údajů k jinému účelu, než ke kterému byly shromážděny, slučitelnost těchto účelů. Chráněným zájmem se rozumí obrana, veřejný pořádek, ochrana práv a svobod, vymáhání nároků aj.

Dítě nabývá způsobilosti k udělení souhlasu se zpracováním osobních údajů dovršením patnáctého roku věku.

Provádí-li správce zpracování osobních údajů ve veřejném zájmu nebo na základě právního předpisu, může povinné informace (identifikace správce, účely zpracování, příjemci, doba uložení, existence práv, aj. dle čl. 13 nařízení) poskytnut prostřednictvím dálkového přístupu.

Posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením nemusí správce provádět, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.

Úřad může upustit od uložení správního trestu v případě uložení opatření k odstranění zjištěných nedostatků. Zároveň může Úřad stanovit přiměřenou lhůtu pro odstranění nedostatků.

Zákon upouští od uložení správního trestu, jedná-li se o orgány veřejné moci a veřejné subjekty.

Řízení zahájená podle zákona č. 101/2000 Sb., která nebyla pravomocně skončena přede dnem nabytí účinnosti tohoto zákona, se dokončí podle zákona č. 101/2000 Sb.

 

Společně se zákonem č. 110/2019 Sb., o zpracování osobních údajů nabývá účinnosti také zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.

Netýká se některý ze změněných předpisů právě Vás? Zpracovali jsme jejich seznam:

1. Trestní řád;
2. Občanský soudní řád;
3. Zákon o organizaci a provádění sociálního zabezpečení;
4. Notářský řád;
5. Zákon o Vězeňské službě a justiční stráži České republiky;
6. Zákon o České národní bance;
7. Zákon o stavebním spoření a státní podpoře stavebního spoření;
8. Zákon o Ústavním soudu;
9. Zákon o státním zastupitelství;
10. Zákon o Rejstříku trestů;
11. Zákon o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců a poslanců Evropského parlamentu;
12. Zákon o advokacii;
13. Zákon o veřejném zdravotním pojištění;
14. Zákon o civilním letectví;
15. Zákon o svobodném přístupu k informacím;
16. Zákon o Probační a mediační službě;
17. Zákon o soudech a soudcích;
18. Soudní řád správní;
19. Zákon o podnikání na kapitálovém trhu;
20. Zákon o archivnictví a spisové službě;
21. Zákon o nemocenském pojištění ;
22. Zákon o výkonu zabezpečovací detence;
23. Zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu;
24. Zákon o Policii České republiky;
25. Daňový řád;
26. Zákon o Generální inspekci bezpečnostních sborů;
27. Zákon o doplňkovém penzijním spoření;
28. Zákon o Finanční správě České republiky;
29. Zákon o Celní správě České republiky;
30. Zákon o mezinárodní justiční spolupráci ve věcech trestních;
31. Zákon o Vojenské policii;
32. Zákon o kybernetické bezpečnosti;
33. Zákon o státní službě;
34. Zákon o ozdravných postupech a řešení krize na finančním trhu;
35. Zákon o hazardních hrách;
36. Zákon o centrální evidenci účtů;
37. Zákon o vysokých školách;
38. Zákon o evidenci obyvatel;
39. Zákon o zdravotních službách.

 

Co se ještě událo v ochraně osobních údajů?

Kromě dalších udělených pokut, z nichž pro nás nejzajímavější jsou ty, jež udělil český Úřad pro ochranu osobních údajů, stojí za zmínku nečekané rozhodnutí německého soudu, který potvrdil závěr místního orgánu pro ochranu osobních údajů.

Ze závěrů dolnosaského soudu vyplývá, že správce údajů (právnická osoba) porušil ustanovení Obecného nařízení, když ve služebních vozech používal GPS zařízení, a to i přesto, že zaměstnanci byli o této skutečnosti informováni. Co je správci vytýkáno je fakt, že nebyli informováni potažmo nedali souhlas k tomu, že vozidla budou sledována i mimo pracovní dobu.
Výše pokut, jež ÚOOÚ udělil za porušení GDPR k 20. 3. 2019
1. 10.000,- Kč
2. 30.000,- Kč
3. 15.000,- Kč
4. 30.000,- Kč
5. 10.000,- Kč
6. 20.000,- Kč

Zdroj: https://www.uoou.cz

 

Obecné nařízení o ochraně osobních údajů neboli GDPR je zde s námi již několik měsíců. Správci a zpracovatelé osobních údajů, kteří se rozhodli implementovat jej do své praxe, už většinu potřebných kroků učinili. Ti, kteří se rozhodli GDPR nezabývat, ho zatím bez následků dále úspěšně ignorují. Důvod je jasný…

Chybí nám adaptační zákon o zpracování osobních údajů, který byl minulý týden Senátem vrácen Poslanecké sněmovně s pozměňovacími návrhy. Než bude přijat, nemusíme se žádných sankcí obávat. Ale to jen u nás je téma GDPR opomíjeno. V zahraničí se kolotoč dávno rozjel.

Horkou zprávou ledna bylo, že francouzský úřad udělil společnosti Google pokutu ve výši 50 mil. EUR za nedostatečné informování uživatelů o účelu zpracování osobních údajů. Více… 

Teď se pozornost zaměří na poskytovatele streamovacích služeb Amazon Prime, Apple Music, Netfix, SoundCloud, Spotify, YouTube, Flimmit a DAZN. Více…

Další kauzy budou následovat. Říkáte si, že to jsou velké ryby, že nás se to netýká? Ale týká. Pokuty se udělují i menším, lokálním organizacím. Jen se o tom tolik nepíše…

I v České republice už proběhly kontroly ze strany Úřadu pro ochranu osobních údajů. Většina jich byla provedena na základě podnětu. Úřad kontroloval například půjčovnu automobilů, oprávněnost instalace kamerového systému před toaletami v obchodním centru, webovou aplikaci insolvenčního rejstříku nebo zabezpečení osobních údajů zpracovávaných v souvislosti s provozováním online hry. A závěry? Tam, kde úřad konstatoval porušení, uložil nápravná opatření a zahájil řízení o přestupku. Více…

Opravdu není radno GDPR zanedbávat!

Naše společnost realizovala několik desítek implementací Nařízení v různém rozsahu od minimalistické verze čítající jen nevyhnutelné kroky až po komplexní zavedení včetně školení odpovědných pracovníků. Tam, kde již bylo GDPR implementováno, nyní realizujeme interní audity.

Ať už se jedná o individuální podnikatelé, menší či větší s.r.o. či a.s. nebo veřejné subjekty školství a státní správy, všude se vyskytují v podstatě shodné chyby a nedostatky.

Nezdá se to, ale je tomu již čtvrt roku, co se celá Evropská unie včetně České republiky horečně připravovala na začátek účinnosti Obecného nařízení o ochraně osobních údajů (známé jako GDPR). První půle letošního roku byla plná obav, temných předpovědí a negativních názorů na tuto problematiku.

S odstupem času lze konstatovat, že po 25. květnu 2018 k žádné tragédii nedošlo. Země se točí dál, politici stále pletichaří a obyčejný lid se s novými pravidly srovnal. Na druhou stranu, nic není ideální. Co zajímavého se tedy u nás za poslední 3 měsíce v oblasti GDPR událo?

Adaptační zákon o zpracování osobních údajů je stále jen ve fázi návrhu.

Vláda předložila návrh zákona poslanecké sněmovně koncem března. Již tehdy bylo zřejmé, že se zákon nestihne projednat do stanoveného květnového termínu. Ani v srpnu na tom nejsme o moc lépe. Návrh zákona neprošel ani druhým čtením, neboť projednávání bylo na schůzi přerušeno a poslanci se krátce na to rozutekli na dovolenou. Návrh zákona se tedy opět na řadu dostane nejdříve v září.

Že nebyl zákon dosud přijat, nás v podstatě může nechat chladnými, protože podstata regulace ochrany osobních údajů je v Obecném nařízení. Navrhovaný zákon pouze upřesňuje některé vybrané případy zpracování osobních údajů, které GDPR připouští a nahradí dosavadní zákon o ochraně osobních údajů.

Jak to tak bývá, většina členských zemí EU své adaptační zákony stihly připravit. Kromě Česka mají zpoždění při přijímání národních norem Belgie, Bulharsko, Kypr, Řecko, Maďarsko, Litva a Slovinsko.

Úřad pro ochranu osobních údajů se nadále považuje za dozorový orgán, i když adaptační zákon nebyl dosud přijat.

Stále častěji se ozývají hlasy, že v ČR panuje jakési bezvládí, jelikož nový zákon o zpracování osobních údajů nebyl dosud přijat a tím nebyl stanoven dozorový úřad nad ochranou osobních údajů. V podobném duchu se vyjádřilo i MPSV ve své tiskové zprávě.

Proti těmto úvahám se však Úřad pro ochranu osobních údajů (ÚOOÚ) důrazně ohradil a trvá na tom, že dozorový úřad v ČR existuje a bude existovat i nadále. Je jím ÚOOÚ, který stejně jako všechny ostatní správní úřady v ČR nemá právní subjektivitu. Je pouhým souborem kompetencí, tudíž je lhostejné, který zákon jej zřizuje, zda zákon o ochraně osobních údajů nebo zákon o zpracování osobních údajů. Podstatná je jeho působnost. Nicméně sama předsedkyně ÚOOÚ Ivana Janů nedávno uvedla, že sankce úředníci nebudou dávat do doby, než bude adaptační zákon účinný.

Navzdory očekávání se se stížnostmi pytel neroztrhl.

ÚOOÚ aktuálně prověřuje několik případů úniků dat, které se týkají většího počtu osob, a spolupracuje s dalšími evropskými dozorovými úřady na řešení některých z nich. Úřad na svých stránkách rovněž uvádí, že od 25. května do druhé poloviny července obdržel téměř 650 stížností v souvislosti s Obecným nařízením o ochraně osobních údajů, což je zhruba trojnásobný nárůst ve srovnání se stejným obdobím loňského roku.

Dle sdělení Andrei Jelinek, předsedkyně nedávno zřízené Evropské rady pro ochranu údajů, byly na mezinárodní úrovni zaregistrovány stížnosti proti velkým institucím. Rakouský právník Max Schrems, dlouhodobý kritik toho, jak Facebook a Google nakládají s daty, podal žalobu právě na zmíněný Facebook,  na jeho dvě společnosti Instagram a WhatsApp a jednu na Android, který patří Googlu. Společnosti Facebook i Google tak hrozí pokuta více než 3,5 miliard eur (každé).

GDPR mělo mimo jiné zamezit nevyžádaným obchodním sdělením a zprávám. To se zatím úplně nedaří.

S nástupem GDPR neustaly telefonáty s nabídkami zboží a služeb. Jak uvedl mluvčí ÚOOÚ Tomáš Paták část ze stížností na porušení nových pravidel tvoří oblast telemarketingu či praktiky při vyžadování souhlasu se zpracováním osobních údajů.

E-mailové schránky nejednoho z nás byly doslova zahlceny žádostmi o poskytnutí souhlasu ať už ze strany firem nebo i veřejných institucí. Bohužel zde došlo k nepochopení právního titulu souhlasu. V řadě běžných situací totiž souhlas vůbec potřeba není. Mnohdy se lze opřít o jiný právní titul například smluvní vztah se subjektem údajů, plnění právních povinností správce nebo oprávněný zájem správce a v těchto případech dokonce souhlas nesmí být vyžadován. Stále se nepodařilo vyvrátit mylný názor, že získáním souhlasu subjektu údajů jsou všechny problémy se zpracováním osobních údajů vyřešeny.

Zpravodajský server U.S. News and World Report ve svém článku o GDPR uvádí, že přestože mnozí odborníci tvrdí, že může trvat několik let, dokud nebudou schopni posoudit účinnost GDPR, většina věří, že se nakonec podaří vrátit soukromí zpět jejich vlastníkům.

Kostky byly vrženy a první nárazovou vlnu máme za sebou. Teď bude záležet na přístupu občanů, podnikatelů, úřadů i institucí. 

O GDPR toho bylo napsáno mnoho. Přesto nebo právě proto existuje spousta nepravd či nepřesností, které bychom rádi uvedli na pravou míru.

	GDPR představuje revoluci v ochraně osobních údajů.
	GDPR přináší minimum úplných novinek. Většina pravidel již byla v zákonech České republiky zakotvena.
	Nařízení GDPR je sice aktuálně nejucelenější soubor pravidel na ochranu osobních údajů na světě, avšak pro vás, kteří se řídili zákonem 101/2000 Sb. o ochraně osobních údajů se toho mnoho nemění.

 

	Nemáme prováděcí předpis, GDPR se v ČR odsouvá.
	Nařízení GDPR nabylo účinnosti 25. května 2018 a platí v celé Evropské unii, tedy i v České republice.
	Nařízením GDPR se musíme řídit, a to navzdory faktu, že dosud nebyl přijat adaptační zákon o zpracování osobních údajů.

 

	Databázi e-mailových kontaktů nelze použít, dokud nezískáme nové souhlasy.
	Toto je jedna z nejrozšířenějších polopravd. Vždy je totiž potřeba sledovat účel použití daného osobního údaje.
	Máte-li databázi kontaktů, do které se vám zákazníci sami svobodně přihlásili a udělili Vám souhlas pro zasílání obchodních či marketingových sdělení, potom můžete tuto databázi dále používat. Jestli však svobodný souhlas nemáte nebo je vaše evidence zanedbaná, bude nutné získat souhlasy nové. Avšak jedná-li se o kontakty zákazníků či obchodních partnerů, s kterými aktivně spolupracujete, a účel zaslaného e-mailu se této spolupráce týká, není souhlas nutný, protože se jedná o váš oprávněný zájem. Což je případ tohoto sdělení, které právě čtete. Důležité však je, že ve všech případech musí mít adresát možnost se ze zasílání e-mailů odhlásit.

 

	Chyby vás přijdou na 500 mil. Kč!
	Je pravda, že GDPR zavádí pokuty ve výši 20 mil. EUR nebo 4% z celosvětového obratu, avšak pokuty nemají být likvidační.
	Pokuty by dle Nařízení měly být účinné, přiměřené a odrazující. Dá se očekávat, že jako doposud bude Úřad pro ochranu osobních údajů posuzovat závažnost porušení a udělené pokuty budou mít spíše výchovný charakter.

 

	Každá organizace má mít pověřence.
	Institut pověřence neboli DPO je jednou z mála novinek, kterou GDPR zavádí, ale rozhodně není povinný pro všechny společnosti.
	Nejste-li orgán moci veřejné, veřejný subjekt, neprovádíte rozsáhlé, pravidelné či systematické zpracování osobních údajů, potom pověřence povinně jmenovat nemusíte (ovšem můžete na dobrovolné bázi). Nevíte-li, kde takového odborníka sehnat, neváhejte se na nás obrátit.

 

	Potřebujeme certifikát, že jsme v souladu s GDPR.
	Takový požadavek nemá oporu v Nařízení ani žádném platném zákoně.
	S nabídkami certifikátů na GDPR nebo i pověřence se roztrhl pytel, nicméně aktuálně žádná oficiální forma ověření správnosti postupů či profesních kvalit neexistuje.

 

	Osobní údaj je jméno, adresa a rodné číslo.
	Osobní údaj je jakákoliv informace, která vede k identifikované nebo identifikovatelné fyzické osobě.
	Kromě výše uvedených příkladů, může být osobním údajem také telefonní číslo, e-mailová adresa, IP adresa, fotografie či videozáznam nebo jakákoliv informace (pohlaví, věk, otisk prstu, podpis atd.), kterou lze přiřadit ke konkrétní osobě.

 

	Každá fyzická osoba má právo na vymazání veškerých osobních údajů, které o ní v naší databázi vedeme.
	Takové právo skutečně existuje, je však potřeba důsledně oddělit, co smazat lze a pro které údaje tato povinnost neplatí.
	O provedení výmazu můžete být kdykoliv kýmkoliv požádáni. Ovšem je potřeba určit, co vymazat lze (obvykle údaje, které používáte na základě souhlasu, jež vám subjekt údajů udělil), a které údaje si naopak musíte ponechat. Například z důvodu smluvního plnění, uschování pro účely archivace (dle platných zákonů), účetnictví, reklamačního řízení atd. Mějte na paměti, že všechna práva, jež subjekt údajů bude chtít uplatnit, se týkají jak fyzických, tak elektronických záznamů.

 

	Osobní údaje musí být šifrovány.
	Nařízení GDPR neukládá povinnost použít nějaké specifické opatření.
	Povinností společností je zabezpečit osobní údaje proti zneužití. Šifrování je uvedeno jako jedna z možností, jak snížit riziko úniku dat, avšak není samospasitelné. A pokud vám někdo nabízí software, který vyřeší implementaci GDPR jednou pro vždy, nevěřte tomu! Nic takového neexistuje.

 

	Musí se hlásit každý ztracený papír.
	Je na místě posuzovat celou věc v širším kontextu. Nevzniklo-li riziko pro práva a svobody fyzických osob, ohlášení není nutné.
	Nařízení GDPR ukládá povinnost ohlásit Úřadu pro ochranu osobních údajů porušení zabezpečení osobních údajů do 72 hodin od zjištění takového porušení. Pokud případné zneužití uniklých údajů nezpůsobí závažnou újmu, nepoškodí či neohrozí práva a svobody subjektu údajů, hlášení Úřadu nebude provedeno. Avšak stále se jedná o porušení zabezpečení osobních údajů, tudíž doporučujeme tento incident nahlásit pověřenci nebo minimálně zaevidovat.

 

	Pro všechna zpracování musíme připravovat Posouzení vlivu na ochranu osobních údajů.
	Posouzení vlivu na ochranu osobních údajů je potřeba zpracovat jen za určitých předpokladů…
	…a to je-li pravděpodobné, že zamýšlené zpracování (zejména při využití nových technologií) bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Součástí dokumentu potom bude posouzení rizika, hodnocení dopadů a popis přijatých technicko-organizačních opatření k zajištění ochrany osobních údajů.

 

	Všechny naše výstupy musí být anonymní.
	U GDPR platí, nedělat z komára velblouda a spolehnout se na zdravý selský rozum. V tomto případě to platí dvojnásob.
	Anonymizované výstupy by mnohdy postrádaly smysl své existence. K čemu by vám byl vystavený certifikát o vzdělání, pokud by na něm nebylo uvedeno jméno osoby, které byl udělen? Ovšem jako všude i zde platí zásada minimalizace. Tedy uvádět jen takové osobní údaje, které jsou pro dané zpracování nezbytné. Na certifikátu bude z osobních údajů figurovat jméno, příjmení, datum narození. Tyto údaje jsou zpravidla dostatečné k identifikaci osoby a není nutné uvádět ještě i adresu bydliště, místo narození, neřku-li rodné číslo

 

GDPR pro nás znamená nárůst administrativy, úpravy interních procesů ve společnosti a s tím spojené zvýšené náklady. To je bezesporu pravda, ale zkusme jednou najít na tom „zlém“ i něco dobrého!

Máte jedinečnou příležitost k inventuře, jaká data se u vás ve společnosti vyskytují a jak je o ně postaráno. A nejde jen o osobní údaje, ale i další informace, které každodenně využíváte. Jsou v bezpečí? Kdo k nim má přístup? Jak se zpracovávají? A určitě se u vás najdou i nějaké prohřešky proti bezpečnosti, nad jejichž nápravou by bylo vhodné se zamyslet. 😉

GDPR se pro nás stává noční můrou ve chvíli, kdy si vybavíme, jak širokou a letitou databází fotografií zachycující osoby disponujeme. Máme hromady fotek z interních akcí pro zaměstnance, firemních akcí pro zákazníky či partnery, z veletrhů, kulturních akcí a jiných příležitostí, které je potřeba řádně zdokumentovat. A co by to bylo za zdokumentování, kdybychom nezveřejnili, co se u nás děje? Snímky umisťujeme na web, facebook, rozesíláme e-mailem, sdílíme, některé se dokonce dostanou i do tisku, visí na pracovištích na nástěnkách, zdobí všelijaké letáčky, občasníky či jiné dokumenty. Profilové foto zaměstnanců najdeme na identifikačních kartičkách, v informačních systémech, v e-mailovém klientovi… Je tu však jedno ALE !

GDPR – napsáno a řečeno k tomuto tématu toho bylo opravdu hodě. Bohužel mnohdy jsou to informace nepřesné a zavádějící, a tak se z GDPR stal démon, kterého se všichni bojí a hledají problémy tam, kde žádné nejsou.

Fotografie osoby je osobním údajem, tudíž se na výše uvedené činnosti (zpracování, které s fotkami děláme), GDPR vztahuje a vyvolává vrásky na čele a řadu otázek.

Můžeme fotografie beztrestně použít nebo potřebujeme souhlas?

Nebo snad máme fotky raději vymazat?

A pro jak staré snímky to vlastně platí? Jen pro nové nebo i ty letité?

Tyto a další otázky nám naši zákazníci velmi často pokládají, tak jsme se rozhodli, že to jednou pro vždy rozsekneme…

Jak se GDPR týká mně, jakožto fyzické osoby? Můžu dát fotku na facebook?

S fotografiemi, které zachycují jen vás osobně, můžete nakládat dle libosti. Pokud fotíte někoho jiného, mějte na paměti, že ho podle občanského zákoníku nesmíte fotografovat bez jeho výslovného souhlasu. Takovým souhlasem je i to, že vám před objektivem ochotně zapózuje. Pokud fotografii zveřejníte (a pozor pořád se bavíme o takové fotografii, která dotyčného nekompromituje, nezpůsobuje mu újmu či neohrožuje jeho práva a svobody) a on se proti tomu ohradí a žádá smazání, jste povinni jeho žádosti vyhovět. V tomto případě platí, že než se obrátí na oficiální místa, měl by nejdříve požádat o odstranění fotografie vás. Nicméně GDPR se vás jako soukromé osoby netýká, dokud nezačnete fotografie používat pro své obchodní aktivity.

Máme fotky zaměstnanců na webu, v informačním systému, na ID kartičkách, ale najdou se i na náborových letáčcích a samozřejmě na facebooku. Co s tím?

GDPR stanoví právní tituly, na základě kterých lze osobní údaje zpracovávat (v tomto případě používat fotografie zaměstnanců). Jedním z nich je oprávněný zájem, což je případ fotky na identifikační kartě zaměstnance. Ovšem je potřeba použití posoudit v širším kontextu – zda je fotka na kartě opravdu nezbytná – počet zaměstnanců, velikost areálu, počet budov atd. V opodstatněných případech se foto může bez souhlasu použít i u kontaktů na webových stránkách (například u manažerské či obchodní pozice).

Pro použití fotek na firemním intranetu webu, facebooku, propagačních materiálech, ale i interním tisku (třeba fotky z vánočního večírku ve firemním bulletinu), budete potřebovat výslovný souhlas zaměstnance. GDPR stanoví jak má takový souhlas vypadat a co je důležité, subjekt údajů (tedy zaměstnanec) musí mít možnost odmítnout nebo kdykoliv souhlas odvolat. Na vás tedy potom je vést agendu udělených souhlasů, ale i těch neudělených či odvolaných a fotografie, ke kterým platný souhlas nemáte, odstranit a zajistit, aby nebyly použity. (Další z možností je dotyčného na fotce anonymizovat.)

A to se týká jak starých fotografií? Jen těch, které jsme pořídili od 25. května 2018?

Nařízení GDPR se vztahuje na veškeré osobní údaje, které zpracováváte. Tedy i na fotografie, které máte uloženy ať už v elektronické nebo papírové podobě bez ohledu na datum jejich vzniku.

Pořádáme školení pro naše partnery, fotky budou zveřejněny na webu. Potřebujeme souhlas?

U fotografií z hromadných akcí platí, že pokud se jedná o skupinovou fotografii, zachycující více osob a tyto osoby nejsou dále nijak identifikovány (např. pod fotkou nejsou napsána jejich jména), souhlas nepotřebujeme. Není však od věci uvést na prezenční listinu, na cedulku v místnosti jakož i na začátku akce zmínit, že bude probíhat focení a pro jaký účel (zveřejnění na facebooku, webu atd.) s možností vyjádření nesouhlasu fotografovi.

A jak je to s fotografiemi našich dětí z akcí školy?

Jedná-li se o skupinové fotografie bez dodatečných údajů, které by mohly jednotlivce identifikovat (například označení třídy, ročníku atd.), lze je zveřejnit bez souhlasu. Fotky jednotlivců nebo s detailními informacemi lze zveřejnit pouze na základě uděleného souhlasu (do 15-ti let věku dítěte uděluje souhlas zákonný zástupce). Vždy samozřejmě existuje varianta fotit zezadu nebo tak, že nejsme schopni osobu na snímku identifikovat, ale… není takového snímku škoda?

Fotíme stupně vítězů. Smíme zveřejnit?

Na stupních vítězů stojí obvykle velmi malá skupinka lidí. A ještě častější je, že jsou tyto fotografie doprovázeny textem, z kterého je zřejmé, kdo je oslavovaným vítězem, proto je vhodné získat souhlas se zpracováním osobních údajů.

U sportovních aktivit jako takových se obecně předpokládá, že budou pořizovány a zveřejňovány fotografie. Neuvádí-li se další, detailnější osobní údaje, lze fotografii zveřejnit bez souhlasu.

A co různé kulturní a společenské akce?

Na takových akcích bývá mnoho lidí, což je poznat i na fotkách, kde jsou zachyceny větší skupinky osob. Tito lidé se obvykle navzájem ani neznají. Je nesmysl od každého vyžadovat souhlas. Bohatě postačí účastníky účinně informovat, že akce bude fotografována a jakým způsobem bude dále se snímky zacházeno (například v programu, u vstupu, při koupi vstupenek). Pokud si někdo nepřeje být zvěčněn, ať se domluví s fotografem nebo si nestoupá do záběru.

Máme zrušit obecní zpravodaj? Vždyť bez fotek by byl o ničem…

Rozhodně nerušte! Fotografie použité ve zpravodaji jsou pod novinářskou licencí. Souhlasy na snímky z hodů, sportovních zápasů, fotky řečníka na veřejné akci nebo i pana starosty předávajícího cenu vítězi závodu, potřebovat nebudete. Pokud však fotíte individuální fotky (vyjma výše uvedených případů), například předškoláka u zápisu, pana starostu v kanceláři, nebo máte v plánu uvést jména osob (třeba zrovna v případě toho vítěze), souhlas si vyžádejte a uschovejte. Pozor, v případě dětí uděluje souhlas zákonný zástupce (do 15-ti let věku dítěte).

Podobná situace je u obecních novin, kde dochází k předávání dat mezi školou a obcí a to je nutné podmínit souhlasem dítěte/rodiče vždy. Obecní zpravodaj může informovat o obecních událostech, zveřejňovat fotky z obce, ale nemůže k tomuto účelu přebírat informace ze svých organizací, pokud takto nebylo dohodnuto v případném souhlasu.

Pokud jste dočetli až sem a s hrůzou jste zjistili, že máte někde zveřejněny nebo použity fotografie osob, ke kterým potřebujete souhlas se zpracováním osobních údajů a třeba už ani nevíte, jak se dotyčný či dotyčná jmenuje, natož jak souhlas získat, existuje jenom jedna cesta… smazat.

Na závěr je vhodné zmínit, že jakmile pomine důvod zpracování osobních údajů (zaměstnanec odejde, subjekt údajů odvolá souhlas, vyprší doba, po kterou byl souhlas udělen atd.), je vhodné osobní údaje (a netýká se to jen fotek) skartovat, vymazat, a to i ze záloh a záložních úložišť.