ÚOOÚ udělil první pokuty – nač se chystá dál
Nejaktuálnější zprávou z Úřadu pro ochranu osobních údajů je postup ve věci zpracování osobních údajů v systému Centrálního registru dlužníků České republiky (CERD).
Registr se tváří jako oficiální databáze, avšak provozovatel má sídlo v USA, nemá relevantní data ani partnery. Čerpá z veřejně dostupných databází a případně získává údaje od lidí a firem, kteří se v něm zaregistrovali. Například finanční instituce výpis pořízený z tohoto registru neuznávají, protože provozují vlastní systémy (Bankovní registr klientských informací, Nebankovní registr klientských informací či SOLUS).
Úřad v loňském roce ukončil kontrolu systému CERD a následně zahájil řízení o přijetí nápravných opatření. Správce systému však uložená opatření neprovedl. Úřad se tedy obrátil na poskytovatele služeb pro systém CERD a podařilo se mu vymoct znepřístupnění webové stránky CERD. Správce systému si však zajistil nového poskytovatele služeb, jímž se stala indická společnost, která IP adresy pro systém CERD hostuje na území Ruské federativní republiky. Protiprávní obsah tak dál figuruje na internetu a Úřad přišel o možnost ovlivnit jeho stažení nebo znepřístupnění. Nyní Úřad zahájil řízení o sankci za nepřijetí opatření k nápravě.
Zdroj: www.uoou.cz
Je tomu více než rok, od účinnosti GDPR. Zatímco rok před zavedením nasbíral Úřad pro ochranu osobních údajů 2385 podnětů, za rok od účinnosti jich přišlo 3851. Dle sdělení Úřadu se stížnosti nejčastěji týkají získávání souhlasu, nerespektování práv subjektů údajů, nevyžádaných obchodních sdělení, telemarketingu, zveřejňování osobních údajů na internetu a kamerových systémů. Úřad eviduje 38 ukončených kontrol, mezi nimiž bylo v 16 případech zjištěno porušení zákona o ochraně osobních údajů.
Zdroj: www.uoou.cz
Úřad pro ochranu osobních údajů udělil již 9 pokut. Na základě zákona o svobodném přístupu k informacím zveřejnil pravomocná rozhodnutí/příkazy, z kterých lze odvodit, že postup úřadu je vskutku mírný a pokuty nejsou likvidační, ostatně jak bylo dříve proklamováno.
Správci osobních údajů byli v některých případech nejprve vyzváni k nápravě a až po jejich nečinnosti přistoupil Úřad k udělení pokuty. Jednalo se o případy neoprávněného zveřejnění osobních údajů, nesplnění informační povinnosti a o pozdní reakci na žádost o opravu osobních údajů. Dále z jednotlivých příkazů vyplývá, že se nevyplácí záměrně zkreslovat skutečnosti, a že správce osobních údajů může dostat pokutu, i když k žádnému bezpečnostnímu incidentu nedošlo.
Chcete-li se dozvědět, zač byly pokuty uděleny, v jaké výši a jaký byl postup Úřadu, navštivte naše webové stránky, kde je všech devět případů shrnuto. Více zde.
Zdroj: www.uoou.cz
Úřad pro ochranu osobních údajů zveřejnil kontrolní plán na rok 2019. Tedy možné typy zpracování osobních údajů, na které se bude především zaměřovat:
 |
plnění povinností při zpracování osobních údajů, včetně zvláštních kategorií údajů – otisků prstů při provozování hazardních her, |
|
zpracování osobních údajů (odebraných vzorků) zdravotnickým zařízením, |
|
zpracování osobních údajů při používání cookies, |
|
zpracování osobních údajů v aplikacích resp. informačních systémech využívaných zdravotnickými zařízeními, |
|
zabezpečení osobních údajů u zpracovatele osobních údajů, |
|
zpracování osobních údajů společností vyvíjející a provozující mobilní aplikace, |
|
zpracování osobních údajů v souvislosti s kontrolami jízdních dokladů, navazujícím zpracování osobních údajů a v souvislosti s nákupem časových jízdenek, |
|
zpracování osobních údajů žadatelů o uzavření smlouvy o úvěr při jejím sjednávání online, |
|
zpracování související s rozvojem digitalizace služeb, které občanům poskytují orgány veřejné správy, |
|
zpracování osobních údajů prováděného buď přímo politickými subjekty, nebo za ně, a to se zaměřením jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo ni, |
|
zpracování genetických údajů jako zvláštních kategorií údajů u společnosti specializující se na testování DNA. |
Zdroj: www.uoou.cz
Pro naše zákazníky je z výčtu kontrolního plánu nejvíce riziková oblast zpracovatelů, jež pro ně osobní údaje nějakým způsobem zpracovávají. Typicky se jedná o externí dodavatele služeb (např. účetní, personalistka, správce IT, SW služby atd.)
Víte jak a zda vůbec váš zpracovatel zabezpečil osobní údaje, které mu předáváte? Víte, že za zabezpečení osobních údajů odpovídáte vy jako správce? Máte ve zpracovatelské smlouvě podchycenu oblast ochrany osobních údajů v souladu s GDPR? V České republice už máme případ správce osobních údajů, který si „neohlídal“ svého zpracovatele a byl za nedostatečné zabezpečení osobních údajů pokutován.
Představují-li pro Vás zpracovatelé noční můru a nejste si jisti, zda máte osobní údaje dostatečně zabezpečeny, obraťte se na nás. Provedeme analýzu aktuálního stavu a navrhneme vhodná řešení nebo pomůžeme s jejich implementací.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.
| Neváhejte nás kdykoliv kontaktovat |