Coronavirus vs. Ochrana osobních údajů

Je v zájmu lidstva omezit šíření přenosných nemocí. Použití moderních technologií v boji proti pandemii coronaviru, jež postihuje velkou část světa, je nevyhnutelné. Vlády, ale i veřejné a soukromé organizace v celé Evropě přijímají opatření k omezení a zmírnění dopadů coronaviru, což může zahrnovat zpracování různých osobních údajů včetně citlivých. Avšak i v těchto výjimečných časech je potřeba pamatovat na ochranu osobních údajů, byť by se to na první pohled mohlo zdát jakkoliv marginální proti palčivějším a naléhavějším potížím vyžadujícím okamžitá řešení.

Z historie totiž víme, že dříve než nejtěžší okamžiky pominou a lidská solidarita a vzájemný respekt klesnou na své standardní hodnoty, objeví se ziskuchtiví prevíti nebojící se využít těch nejcitlivějších osobních údajů ke svému prospěchu. Lidé jsou si toho vědomi a začínají klást otázky v souvislosti s opatřeními pro zamezení nákazy. K některým z nich se vyjádřil i Evropský sbor pro ochranu osobních údajů  (EDPB European Data Protection Board) ve svém prohlášení z 19. března 2020 .

 

Jak se tedy GDPR dívá na zpracování osobních údajů jako je:

zdravotní stav osob, jež jsou nebo mohou být šiřiteli nákazy;
lokalizace šiřitelů nákazy v čase – trasování;
dohledání dalších osob, s kterými byli šiřitelé ve styku;
zpracování prováděná zaměstnavatelem.

 

Pravidla stanovená obecným nařízením o ochraně osobních údajů GDPR v článku 9 odst. 2 písm. i) pamatuje na specifická zpracování údajů o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami. Konkrétní situace zahrnující zpracování osobních údajů a jejich rozsah, jakož i přijímání vhodných opatření upravuje zákon o ochraně veřejného zdraví.

Příkladem vhodného opatření je informování obyvatel prostřednictvím mobilních telekomunikačních sítí ve spolupráci s operátory těchto sítí (varování a výzvy ve formě SMS zpráv).

Jak ukládá zákon o ochraně veřejného zdraví, příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření.

Mezi orgány ochrany veřejného zdraví se řadí ministerstvo zdravotnictví, krajské hygienické stanice, ministerstva vnitra, obrany, průmyslu a obchodu a další (ministerstvo životního prostředí, ministerstvo dopravy, ministerstvo pro místní rozvoj, krajské úřady).

 

 

V České republice, ale jiných zemích je aktuálně vyhlášen nouzový stav, což je období, kdy je možno mimo jiné na nezbytně nutnou dobu a v nezbytně nutném rozsahu omezit některá práva a svobody občanů. Vláda ČR umožnila svým usnesením č. 250 ze dne 18. března 2020 tzv. trasování polohy osob, u kterých byla prokazatelně potvrzena nákaza COVID-19 ve sledovaném období a na základě jejich informovaného souhlasu.

Jinými slovy orgány ochrany veřejného zdraví mohou požadovat u telekomunikačních operátorů údaje o pohybu osob (na základě jejich souhlasu) dle lokalizace mobilních telefonů za účelem zjištění ohniska nákazy a vyhledání dalších potenciálně nakažených osob. Doba trvání by měla být omezena na dobu trvání nouzového stavu.

Jak upozorňuje EDPB je důležité přijmout odpovídající bezpečnostní opatření a zásady důvěrnosti zajišťující, že osobní data nebudou zpřístupněna neoprávněným osobám. Toho se drželo i Ministerstvo zdravotnictví, když nařídilo Zlínské hygienické stanici stáhnout ze svého webu údaje o počtu nakažených osob dle jednotlivých obcí Zlínského kraje. Mluvčí ministerstva zdravotnictví Gabriela Štěpanyová k tomu uvedla: „Zveřejňovat počty nakažených podle obcí považujeme za nevhodné, protože je zde vysoké riziko stigmatizace nakažených osob a jejich rodinných příslušníků. Ministerstvo zdravotnictví od začátku epidemie klade vysoký důraz na ochranu nakažených a jejich rodin. Považujeme proto za důležité komunikovat informace o pozitivních případech maximálně na úroveň jednotlivých okresů příslušného kraje.“ Více v článku Novinky.cz .

 

Zákoník práce ukládá zaměstnavateli vytvářet bezpečné a zdraví neohrožující pracovní prostředí, přičemž by měl přijímat opatření k předcházení, odstraňování či minimalizaci rizik – tzv. prevenční povinnost.

V době ohrožení je tedy zaměstnavatel povinen přijmout potřebná ochranná opatření a postupovat v souladu s platnými předpisy, mimořádnými opatřeními Vlády ČR a pokyny orgánů ochrany veřejného zdraví. Ministerstvo zdravotnictví připravilo manuál možných opatření bránících šíření onemocnění COVID-19 na pracovištích.

Za účelem vytipování možných šiřitelů zavádí zaměstnavatelé různá opatření a monitorování zaměstnanců jako jsou dotazníky zjišťující pobyt v rizikových zemích, čestná prohlášení či sledování teploty zaměstnanců. Vznikají i databáze rizikových zaměstnanců. Zaměstnavatelé mají právo zjišťovat, zda byl zaměstnanec nebo jeho blízké osoby v rizikové oblasti. Shromažďování informací o zdravotním stavu zaměstnanců je však možné za předpokladu, že budou sloužit výhradně pro účely ochrany zdraví a předcházení dalšímu šíření nákazy s tím, že opatření musí být přiměřená, zavedená na omezenou dobu a zaměstnanci musí být předem informováni.

Povinnost zaměstnanců/návštěv pracovišť podrobit se měření teploty není zatím v žádném českém předpisu stanovena. Osoba, která měření provádí by měla být o správném provedení měření poučena. V současné chvíli nedoporučujeme pořizovat záznamy naměřených teplot. Případné výstupy by měly zaznamenávat pouze rozhodnutí, zda umožnit práci/vstup na pracoviště nebo ne. Pokud ovšem nejste poskytovatel sociálních služeb, pro kterého MPSV vydalo doporučený postup, který způsob a evidenci měření teplot upravuje.

Tato problematika není napříč Evropskou unií řešena jednotně. Ve Francii mají zaměstnavatelé zakázáno shromažďovat zdravotní údaje zaměstnanců či návštěv. V Německu se měření teploty provádí na základě souhlasu zaměstnance. V Itálii mají zaměstnavatelé uloženo sledovat zdravotní stav zaměstnanců po dobu trvání mimořádného stavu, přičemž informace nesmí být sdíleny s třetími stranami vyjma případů stanovených zákonem.

Zákoník práce zaměstnavateli ukládá informovat své zaměstnance o možných rizicích. Takovým rizikem je i skutečnost, že se na pracovišti vyskytuje nebo vyskytovala nakažená osoba. Udaje o této osobě je potřeba poskytnout v minimálním rozsahu, nezbytném k ochraně zdraví ostatních zaměstnanců. Jak uvádí Úřad pro ochranu osobních údajů , nesmí být  dotčena důstojnost a integrita této osoby. Rozhodně by tedy zaměstnavatel neměl zaměstnancům sdělovat jména nakažených osob či osob v karanténě.

Nakazit se může i přes všechna opatření kdokoliv z nás. Nechceme přece být lynčováni a zveřejňováni s nálepkou „koroňák“! Nečiňme to tedy ani jiným. Mysleme na to, že nemocní a lidé v karanténě mají stejné právo na soukromí jako my.

Starosti vyřešíme za vás. 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Den ochrany osobních údajů 28. ledna 2020

 


Po roce si opět připomínáme den ochrany osobních údajů. Dnes, jakož i zítra a kdykoliv jindy bychom měli mít na mysli, že budeme-li své osobní údaje dávat lacino, v budoucnu se nám to nevyplatí.

DEN OCHRANY OSOBNÍCH ÚDAJŮ

28. ledna 2020

 

Za kolik byste prodali kompletní přehled míst s daty, časy a délkou pobytu, která jste v průběhu jednoho měsíce navštívili? Z takového souboru dat se dá spolehlivě vyčíst kde bydlíte, kde pracujete, v kolik hodin odcházíte do práce, kdy a kde vyzvedáváte děti, jak dlouho a kdy bývá vaše obydlí opuštěné nebo třeba kde jste strávili noc.

A co adresář kontaktů v telefonu? Také si u jednotlivých jmen vedete přehled telefonních čísel, adresu domů a do práce, email či narozeniny? Na kolik si ceníte osobních údajů vám blízkých osob?

Většina z nás by tato data vědomě neprodala. A přesto tak činíme dnes a denně a co hůř, zadarmo! Respektive za trochu pohodlí nebo zábavy. Myslíte, že přeháníme?

 

Jste aktivní na sociálních sítích? Ukládáte kontakty do nějaké praktické cloudové aplikace, abyste je měli kdykoliv k dispozici na více zařízeních? Máte chytrý telefon, chytré hodinky, zapnuté GPS určování polohy, protože často někam cestujete? A máte množství aplikací v telefonu, které vyžadují přístup k údajům o poloze, ke kontaktům, k uloženým fotografiím či souborům, aniž by to pro svou primární funkci potřebovaly?

K čemu potřebuje aplikace svítilny přístup k údajům o poloze zařízení? Proč obyčejná hra vyžaduje povolení přístupu ke kontaktům? Jakou ochranu svěřených údajů vám asi nabízí služba, která je zdarma? (Ať už se jedná o cloudovou službu nebo aplikaci k chytrým hodinkám nejmenovaného čínského výrobce či sociální síť.) Čtete licenční ujednání před nainstalováním nové aplikace? Kdo by to dělal, že! Ale potom se nedivme, že máme aplikaci, prostřednictvím které provozovatel legálně stahuje data z našeho zařízení, která prodává třetím stranám…třeba zrovna ta polohová.

Přečtěte si, jak se v Americe čile obchoduje s legálně získaným souborem dat, jež tvoří údaje o geografické poloze dvanácti milionů Američanů – uživatelů mobilních telefonů.

 

Začátkem ledna 2020 vstoupil v platnost kalifornský zákon ochrany soukromí zákazníků CCPA (California Consumer Privacy Act), což je obdoba evropského GDPR. Kdo v Kalifornii zpracovává osobní údaje od více než 50 tisíc zákazníků, musí se jím řídit. Microsoft se nechal slyšet, že bude CCPA dodržovat pro všechny obyvatele USA, Mozilla dokonce celosvětově.

Zajímavá zpráva z oblasti ochrany osobních údajů pochází od Evropského sboru pro ochranu osobních údajů (EDPB), který ve svém registru pro rozhodnutí orgánů dohledu zveřejnil návrh standardních smluvních doložek (zpracovatelská smlouva) dánského úřadu pro ochranu osobních údajů. Stanovisko Sboru k původnímu dokumentu je dostupné v českém jazyce. Aktualizovaný vzor zpracovatelské smlouvy je k dispozici v anglickém jazyce. Tento pokus o standardizaci hodnotíme velmi pozitivně.

Český Úřad pro ochranu osobních údajů rovněž nezahálel a připravil dokument týkající se povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA) s názvem „Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů“.

Ani Q – COM nespí, neustále přemýšlíme, jak naše služby vylepšit. Na našich webových stránkách jsme zveřejnili přehled užitečných nástrojů, jež s ochranou osobních údajů a dalšími trápeními, umí rovněž pomoci. Naleznete tam mimo jiné vzor žádosti o poskytnutí informace o zpracování osobních údajů či žádost o výmaz osobních údajů.

CCPA stejně jako GDPR, dokumenty Sboru nebo národních dozorových orgánu jsou však jen nástroje pro ochranu osobních údajů. Hlavní břímě leží na nás!

 

Protože ochranu osobních údajů bereme vážně, v týdnu od 27. ledna do 2. února 2020 nabízíme slevu 15% na služby spojené s GDPR.

 

Den ochrany osobních údajů může být stejný jako ostatních 365 letošních dnů, kdy zvítězí naše pohodlnost, touha po zábavě a nechuť cokoliv měnit.

Ale také to může být den, kdy začneme používat zdravý selský rozum! 

Nastal čas na změnu… 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Zaměstnavatele z GDPR hlava bolet nemusí

Dle vyjádření Evropské komise podniky údajně rozvíjejí kulturu dodržování předpisů v oblasti ochrany osobních údajů a občané jsou si čím dál více vědomi svých práv. Většina členských států zavedla podpůrný právní rámec pro ochranu osobních údajů. V České republice jím je zákon č. 110/2019 Sb., o zpracování osobních údajů. Přehled zásadních změn a výjimek jsme přehledně shrnuli na našich webových stránkách . Mohlo by se zdát, že vše funguje…

Nicméně protože opakování je matka moudrosti a názory ÚOOÚ se vyvíjí (ostatně i naše), podíváme se na GDPR z pohledu zaměstnavatele, protože personální agenda představuje v mnoha organizacích nejrozsáhlejší oblast zpracování osobních údajů.

Nač si tedy má dát zaměstnavatel pozor, aby ho z GDPR nebolela hlava?

 

Pro účel zpracování osobních údajů v rámci personální agendy není žádoucí vyžadovat po zaměstnanci podepsání souhlasu.

Projděte si vzory pracovních smluv, dotazníky/formuláře, zda v nich není souhlas se zpracováním osobních údajů zapracován nebo zda nějaký souhlas se zpracováním osobních údajů po zaměstnancích nepožadujete.

Provádíte-li zpracování osobních údajů, protože vám to ukládá zákon, smluvní vztah nebo se jedná o váš oprávněný zájem (pozor aby jste byli v souladu s oprávněným zájmem zaměstnance), souhlas nepotřebujete. Naproti tomu zasíláte-li zaměstnancům elektronickou výplatní pásku na soukromý e-mail, evidujete soukromá telefonní čísla pracovníků pro urychlené obsazení směny nebo používáte fotografie zaměstnanců pro marketingové účely či jsou obsaženy ve firemním adresáři nebo vnitropodnikové aplikaci, potom se bez souhlasu neobejdete.

Jaké náležitosti by měl souhlas obsahovat, se dovíte zde . Nebo můžete mrknout na náš souhlas se zpracováním osobních údajů za účelem zasílání obchodních sdělení .

 

Jedno z nejčastěji vytýkaných porušení GDPR je nedostatečné informování zaměstnanců o tom, jak jsou jejich osobní údaje zpracovávány.

Zaměstnancům musí být prokazatelným způsobem předány informace o správci jejich osobních údajů, účelu zpracování, právním základu pro zpracování, komu jsou osobní údaje předávány a v jakém rozsahu, o době, po kterou budou osobní údaje zpracovávány. V neposlední řadě je potřeba zmínit i práva, která subjekt údajů/zaměstnanec v oblasti ochrany osobních údajů má. O těch jsme psali zde .

Mimochodem dle GDPR musíte vhodným způsobem informovat všechny subjekty údajů, jejichž osobní údaje zpracováváte tedy rovněž: zákazníky, obchodní partnery, návštěvníky vašich webových stránek, účastníky marketingových kampaní atd. Rozsah informací je stanoven článkem 13 GDPR .

 

Monitorujete-li služební vozidla pomocí GPS, a to v rozsahu potřebném pro ochranu a správu majetku, pak je to oprávněný zájem zaměstnavatele.

Pokud umožňujete zaměstnanci využívat vozidlo i pro soukromé účely, je potřeba vzájemná práva a povinnosti upravit dohodou o použití vozidla. Je nezbytné zaměstnance na použití GPS sledování upozornit, a to prokazatelným způsobem. Zaměstnavatel je i nadále oprávněn zpracovávat osobní údaje pro stanovený účel jímž je ochrana a správa majetku, evidence jízd, prokázání bezpečnostních přestávek atd., ale nesmí docházet k intenzivní či stálé kontrole zaměstnanců, která by narušovala jejich soukromí.

Jako u všech zpracování i zde platí, že data lze zpracovávat pouze po dobu odpovídající účelu, a to i přesto, že spousta provozovatelů systémů tuto povinnost nereflektuje. Údaje o soukromých jízdách je nezbytné považovat za důvěrné a ideálně nepřístupné. Nezapomínejme, že odpovědnost za zpracování má vždy správce osobních údajů.

 

Dle zákoníku práce zaměstnanci nesmí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování tohoto zákazu je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat – například sledovat množství a velikost odeslané a přijaté pošty zaměstnancem nebo domény navštívených internetových stránek. Sledování nesmí být systematické a založené na ruční kontrole údajů a dat.

V případě zavedení sledovacích nástrojů je však zaměstnavatel povinen o tom zaměstnance informovat.

 

Zaměstnavatel je oprávněn vyžadovat od uchazeče o zaměstnání informace o trestněprávní bezúhonnosti, jestliže to ukládá právní předpis pro výkon určité pracovní pozice (policisté, hasiči, zdravotní sestry, učitelé, advokáti atd.) či je pro to dán dle zákoníku práce věcný důvod spočívající v povaze práce, jež má být vykonávána a je-li tento požadavek přiměřený.

Plošné vyžadování doložení bezúhonnosti u všech typů prací není v souladu s GDPR ani s pracovněprávními předpisy.

Co se uchovávání Rejstříku trestů týče, dle názoru ÚOOÚ je možné po účelem zpracování odůvodněnou dobu výpis či na základě výpisu učiněné poznámky uchovávat. Avšak my dodáváme, že již jeden den po vystavení výpisu je tento dokument zastaralý a údaje v něm uvedené nemusí odpovídat aktuálnímu stavu. Tudíž je na zvážení, zda existuje relevantní důvod pro jeho uchovávání.

 

V České republice jsou stále více využívány technologie založené na identifikaci osoby prostřednictvím biometrického údaje (obvykle otisku prstu). GDPR však biometrické údaje považuje za zvláštní kategorii osobních údajů, čili citlivý údaj, kde jsou nastavena přísnější pravidla pro zpracování.

Je-li účelem zpracování kontrola vstupu, přítomnosti a přístupů zaměstnanců s ohledem na zabezpečení provozu proti přístupu neoprávněné osoby, jedná se o oprávněný zájem zaměstnavatele a není potřeba vyžadovat po zaměstnancích souhlas.

To ovšem není případ evidence docházky s využitím této technologie. Tam už bude potřeba souhlas získat, a protože  ten musí být dán dobrovolně, měl by zaměstnavatel zajistit i jiný způsob evidence docházky, kde k použití biometrického údaje nedochází.

 

Poskytování benefitů zaměstnavatelem často souvisí s předáním osobních údajů zaměstnance třetí straně, tedy jinému příjemci, jež benefit zajišťuje. Ale ani toho se není potřeba bát, neboť zpracování osobních údajů pro tento účel vychází z dohody o poskytnutí benefitu.

Právním účelem je tedy plnění smlouvy, a to i v případě, že se k poskytnutí benefitu zaměstnavatel zavázal v kolektivní smlouvě nebo právo na benefit stanovil vnitřním předpisem.

Opět ale nesmíme zapomínat na výše uvedený čl. 13 GDPR a zaměstnance informovat o předání osobních údajů poskytovateli benefitu a též i o rozsahu předaných údajů.

 

Je potřeba nezapomínat na práva subjektů údajů. Jedním z nich je i přístup k informacím, a to i v případě bývalých zaměstnanců. Vzhledem k tomu, že i po skončení pracovního poměru jsou osobní údaje dále zpracovávány, může se stát, že subjekt údajů svého práva využije, a to třeba i včetně práva na poskytnutí kopie zpracovávaných osobních údajů.

Doporučujeme po skončení pracovního poměru zaměstnance uchovávat v organizaci/informačních systémech jeho osobní údaje pouze v nezbytném rozsahu.

A když jsme u přístupu k osobním údajům, je potřeba zajistit i jejich zabezpečení. Neponechávat fyzickou dokumentaci volně přístupnou, stejně tak i elektronickou databázi, a mít přehled o oprávněných osobách, jež mohou osobní údaje zpracovávat. Zpracováním je myšleno vše, co lze s osobními údaji dělat, tedy i nahlížet, kopírovat, likvidovat, předávat atd. U předávání osobních údajů dejme pozor, v jakém rozsahu a komu osobní údaje předáváme. Například údaj o členství v odborové organizaci patří mezi zvláštní kategorie osobních údajů/citlivé, a jeho zpracování podléhá přísnějším pravidlům.

 

Poslední myšlenka, kterou je vhodné zmínit, je povinnost realizace pravidelných školení ochrany osobních údajů pro všechny zaměstnance, kteří s osobními údaji přichází do styku.

O tom, že byli pracovníci proškoleni, je potřeba mít vyhotoven záznam.


Společnost Q – COM se dlouhodobě zabývá systémy řízení.
Ochrana osobních údajů do celého schématu zapadá, jelikož se jedná pouze o jiný pohled na problematiku bezpečnosti. Našim klientům zdůrazňujeme, že GDPR není primárně otázkou investic do technologií či záležitost IT oddělení. Klíčové je především vhodné nastavení procesů, nezbytné používání zdravého selského rozumu a nejdůležitější  pravidelné vzdělávání pracovníků.

 

Rozsah naší podpory závisí na konkrétních požadavcích zákazníka. Jsme schopni realizovat dílčí projekty v minimalistickém rozsahu i komplexní zavedení nejmodernějších postupů vedoucích k zajištění velmi vysoké úrovně ochrany osobních údajů, ale i informací a dalších aktiv zákazníka.

Cítíte, že GDPR je Vaše slabina a nevíte, jak na to? 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Novinky z Úřadu pro ochranu osobních údajů

 

V případě porušení zabezpečení osobních údajů je správce povinen bez zbytečného odkladu tuto skutečnost ohlásit Úřadu, a to do 72 hodin od okamžiku zjištění. Pokud není lhůta dodržena, musí být současně s ohlášením uveden důvod zpoždění. Ohlášení je možno zaslat do datové schránky qkbaa2n nebo na adresu elektronické pošty posta@uoou.cz či fyzicky poštou na adresu Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00  Praha 7.

Zpracovatel je povinen zaslat ohlášení správci na dohodnuté kontaktní údaje správce.

Úřad pro ochranu osobních údajů zveřejnil formulář, který je možno pro ohlášení porušení zabezpečení osobních údajů použít. Ke stažení zde .

 

Obecné nařízení o ochraně osobních údajů upravuje oblast vydávání osvědčení o ochraně osobních údajů. V rámci českého překladu byla použita poněkud odlišná terminologie. Osvědčením se myslí certifikát o ochraně osobních údajů, tedy dokument vydaný certifikačním orgánem, kterým subjekt (správce, zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky obecného nařízení.

Nebude povinností žádat o vydání certifikátu, ale jeho existence může zjednodušit předávání osobních údajů do zahraničí, kdy se dovozce údajů (zpracovávající osobní údaje v zemi s nedostatečnou úrovní ochrany osobních údajů) prokáže platným osvědčením. Rovněž je možno očekávat usnadnění  nákupu produktů nebo služeb, pokud se prodejce/výrobce/poskytovatel prokáže osvědčením, které dokládá, že produkt nebo služba je v souladu s Obecným nařízením.

Subjekty pro vydávání osvědčení bude akreditovat Český institut pro akreditaci, o.p.s., vnitrostátní akreditační orgán České republiky, postupem upraveným v zákoně č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů. Tato povinnost mu byla uložena §15 zákona č.110/2019 Sb., o zpracování osobních údajů.

Úřad pro ochranu osobních údajů připravil požadavky pro vydávání osvědčení (zahrnují požadavky na akreditaci orgánů vydávajících osvědčení a kritéria pro vydávání osvědčení), nyní se čeká na posouzení ze strany Evropského sboru pro ochranu osobních údajů. 

V současné době tedy nelze žádat o akreditaci, tudíž ani o vydání osvědčení (certifikátu) k produktu, službě nebo zpracování. 

 

Cítíte, že GDPR je Vaše slabina a nevíte, jak na to? 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

ÚOOÚ udělil první pokuty – nač se chystá dál

Nejaktuálnější zprávou z Úřadu pro ochranu osobních údajů je postup ve věci zpracování osobních údajů v systému Centrálního registru dlužníků České republiky (CERD).

Registr se tváří jako oficiální databáze, avšak provozovatel má sídlo v USA, nemá relevantní data ani partnery. Čerpá z veřejně dostupných databází a případně získává údaje od lidí a firem, kteří se v něm zaregistrovali. Například finanční instituce výpis pořízený z tohoto registru neuznávají, protože provozují vlastní systémy (Bankovní registr klientských informací, Nebankovní registr klientských informací či SOLUS).

Úřad v loňském roce ukončil kontrolu systému CERD a následně zahájil řízení o přijetí nápravných opatření. Správce systému však uložená opatření neprovedl. Úřad se tedy obrátil na poskytovatele služeb pro systém CERD a podařilo se mu vymoct znepřístupnění webové stránky CERD. Správce systému si však zajistil nového poskytovatele služeb, jímž se stala indická společnost, která IP adresy pro systém CERD hostuje na území Ruské federativní republiky. Protiprávní obsah tak dál figuruje na internetu a Úřad přišel o možnost ovlivnit jeho stažení nebo znepřístupnění. Nyní Úřad zahájil řízení o sankci za nepřijetí opatření k nápravě.

Zdroj: www.uoou.cz

Je tomu více než rok, od účinnosti GDPR. Zatímco rok před zavedením nasbíral Úřad pro ochranu osobních údajů 2385 podnětů, za rok od účinnosti jich přišlo 3851. Dle sdělení Úřadu se stížnosti nejčastěji týkají získávání souhlasu, nerespektování práv subjektů údajů, nevyžádaných obchodních sdělení, telemarketingu, zveřejňování osobních údajů na internetu a kamerových systémů. Úřad eviduje 38 ukončených kontrol, mezi nimiž bylo v 16 případech zjištěno porušení zákona o ochraně osobních údajů.

Zdroj: www.uoou.cz

Úřad pro ochranu osobních údajů udělil již 9 pokut. Na základě zákona o svobodném přístupu k informacím zveřejnil pravomocná rozhodnutí/příkazy, z kterých lze odvodit, že postup úřadu je vskutku mírný a pokuty nejsou likvidační, ostatně jak bylo dříve proklamováno.

Správci osobních údajů byli v některých případech nejprve vyzváni k nápravě a až po jejich nečinnosti přistoupil Úřad k udělení pokuty. Jednalo se o případy neoprávněného zveřejnění osobních údajů, nesplnění informační povinnosti a o pozdní reakci na žádost o opravu osobních údajů. Dále z jednotlivých příkazů vyplývá, že se nevyplácí záměrně zkreslovat skutečnosti, a že správce osobních údajů může dostat pokutu, i když k žádnému bezpečnostnímu incidentu nedošlo.

Chcete-li se dozvědět, zač byly pokuty uděleny, v jaké výši a jaký byl postup Úřadu, navštivte naše webové stránky, kde je všech devět případů shrnuto. Více zde.

Zdroj: www.uoou.cz

Úřad pro ochranu osobních údajů zveřejnil kontrolní plán na rok 2019. Tedy možné typy zpracování osobních údajů, na které se bude především zaměřovat:

plnění povinností při zpracování osobních údajů, včetně zvláštních kategorií údajů – otisků prstů při provozování hazardních her,
zpracování osobních údajů (odebraných vzorků) zdravotnickým zařízením,
zpracování osobních údajů při používání cookies,
zpracování osobních údajů v aplikacích resp. informačních systémech využívaných zdravotnickými zařízeními,
zabezpečení osobních údajů u zpracovatele osobních údajů,
zpracování osobních údajů společností vyvíjející a provozující mobilní aplikace,
zpracování osobních údajů v souvislosti s kontrolami jízdních dokladů, navazujícím zpracování osobních údajů a v souvislosti s nákupem časových jízdenek,
zpracování osobních údajů žadatelů o uzavření smlouvy o úvěr při jejím sjednávání online,
zpracování související s rozvojem digitalizace služeb, které občanům poskytují orgány veřejné správy,
zpracování osobních údajů prováděného buď přímo politickými subjekty, nebo za ně, a to se zaměřením jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo ni,
zpracování genetických údajů jako zvláštních kategorií údajů u společnosti specializující se na testování DNA.

 

Zdroj: www.uoou.cz

Pro naše zákazníky je z výčtu kontrolního plánu nejvíce riziková oblast zpracovatelů, jež pro ně osobní údaje nějakým způsobem zpracovávají. Typicky se jedná o externí dodavatele služeb (např. účetní, personalistka, správce IT, SW služby atd.)

Víte jak a zda vůbec váš zpracovatel zabezpečil osobní údaje, které mu předáváte? Víte, že za zabezpečení osobních údajů odpovídáte vy jako správce? Máte ve zpracovatelské smlouvě podchycenu oblast ochrany osobních údajů v souladu s GDPR? V České republice už máme případ správce osobních údajů, který si „neohlídal“ svého zpracovatele a byl za nedostatečné zabezpečení osobních údajů pokutován.

Představují-li pro Vás zpracovatelé noční můru a nejste si jisti, zda máte osobní údaje dostatečně zabezpečeny, obraťte se na nás. Provedeme analýzu aktuálního stavu a navrhneme vhodná řešení nebo pomůžeme s jejich implementací.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Neváhejte nás kdykoliv kontaktovat

Přehled pokut udělených ÚOOÚ

Pročetli jsme všech devět zveřejněných rozhodnutí a příkazů Úřadu pro ochranu osobních údajů. Níže naleznete přehled čeho se pokuty týkaly a jaký byl v kostce postup Úřadu.

Zdroj: www.uoou.cz

 

Případ 1
Porušení Správce osobních údajů (škola) od roku 2017 do současnosti zveřejňuje prostřednictvím sociální sítě Facebook na svém profilu osobní údaje bývalé zaměstnankyně v rozsahu jméno, příjmení, titul a fotografie a to i přes opakovanou výzvu k jejich odstranění.
Pokuta 10.000 Kč
Důvod zahájení řízení Podnět na ÚOOÚ zaslala bývalá zaměstnankyně e-mailem poté, co 2x e-mailem požádala správce osobních údajů o odstranění svých osobních údajů z facebookových stránek.
Průběh řízení Úřad zaslal správci osobních údajů upozornění na porušení povinností při zpracování osobních údajů s poučením o neoprávněnosti zveřejní a příkazem na odstranění uvedených osobních údajů. Správce však nijak nereagoval. Následně byla správci zaslána datovou schránkou výzva k neprodlené nápravě protiprávního stavu. Opět bez reakce. Následoval telefonát s upozorněním, že byla zaslána datová zpráva, která nebyla vyzvednuta. K odstranění osobních údajů z facebookového profilu ani poté nedošlo.
Případ 2
Porušení Správce osobních údajů klientů (autopůjčovna) neposkytl informaci o zpracování osobních údajů prostřednictvím GPS lokátorů, které byly umístěny v motorových vozidlech, jež pronajímal. Dále nebyly poskytnuty informace o správci osobních údajů, o účelech zpracování, době uložení osobních údajů, o dalších příjemcích a právním základu pro zpracování atd.
Pokuta 30.000 Kč
Důvod zahájení řízení Podnět na ÚOOÚ zaslal klient autopůjčovny poté, co upozorňoval na nedostatky na autě a zaměstnanec autopůjčovny mu následně udělil smluvní pokutu za překročení povolené rychlosti, přičemž při pronájmu vozidla nebyla nikde uvedena informace, že je vozidlo sledováno pomocí GPS.
Průběh řízení Byla provedena kontrola na místě na jejímž základě Úřad uvedl, že správce osobních údajů nesplnil informační povinnost stanovenou GDPR, neboť o zpracování údajů získaných prostřednictvím GPS lokátorů neinformoval zákazníky vůbec a ve vztahu k ostatním zpracováním (tj. zejména zpracování za účelem splnění smlouvy) informoval zcela nedostatečně.
Případ 3
Porušení Správce osobních údajů osob zaregistrovaných na internetové adrese (provozovatel online hry) neuzavřel se zpracovatelem osobních údajů smlouvu o zpracování osobních údajů dle GDPR. Dále správce osobních údajů nezajistil osobní údaje hráčů (hráčské jméno, heslo, ID herního účtu, e-mailová adresa, IP adresa) provozované online hry, v důsledku čehož došlo ke zveřejnění těchto údajů na internetu po dobu cca 30 minut.
Pokuta 15.000 Kč
Důvod zahájení řízení Správce – provozovatel online hry zaslal Úřadu pro ochranu osobních údajů ohlášení porušení zabezpečení osobních údajů s tím, že následky úniku databáze jsou dost možná nulové. Dále správce uvedl, že se jednalo o zneužití ze strany programátora, který údajně data stáhl a poslal konkurenci s tím, že zveřejnění na internetu provedl neznámý pachatel. Správce údajně již podnikl kroky vedoucí k tomu, že se nic podobného nebude opakovat. Úřad dále obdržel podnět od fyzické osoby (provozovatele obdobné hry), která uvedla, že zveřejněnou databázi viděla, upozornila provozovatele, a že už údaje nejsou nikde k dispozici.
Průběh řízení V průběhu řízení bylo zjištěno, že do zpracování osobních údajů byl zapojen další zpracovatel, který data zálohoval na své soukromé cloudové úložiště, čímž došlo k řetězení zpracovatelů, avšak příslušné zpracovatelské smlouvy nebyly uzavřeny. Vše se dělo s plným vědomím správce osobních údajů. Dále měla být uzavřena zpracovatelská smlouva s programátorem v souladu s GDPR. Byla uzavřena pouze smlouva o dílo, která postrádala ustanovení, jež by bylo možno považovat za zpracovatelskou smlouvu.
Neznámý pachatel zveřejnil data, jež získal ze zmíněného soukromého cloudového úložiště zpracovatele.
Správce osobních údajů nepřijal taková opatření, aby nemohlo dojít k nahodilému či neoprávněnému přístupu k jím zpracovávaným osobním údajům.
Případ 4
Porušení Správce osobních údajů klientů (zprostředkovatel spotřebitelského úvěru) nezajistil osobní údaje cca 300 klientů v rozsahu jméno, příjmení, rodné číslo, číslo OP, adresa bydliště, telefonní číslo a informace o úvěru. Kopie smluv o spotřebitelském úvěru byly volně uloženy v papírové krabici v prostorách společných garáží bytového domu po dobu minimálně 14 dnů a následně nalezeny v kontejneru.
Pokuta 30.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč
Důvod zahájení řízení Správce osobních údajů zaslal Úřadu pro ochranu osobních údajů ohlášení porušení zabezpečení osobních údajů přibližně 80 klientů. ÚOOÚ obdržel také popis skutečností zjištěných Policí České republiky.
Průběh řízení Správce osobních údajů nedostatečně vyhodnotil rizika pro práva a svobody svých klientů, a ani nepřijal odpovídající bezpečnostní opatření k jejich ochraně, když ponechal krabici s dokumenty volně uloženou v prostorách společných garáží bytového domu, kde k nim měl přístup kdokoli z obyvatel domu. Následně byla krabice nalezena v kontejneru, kam ji odnesla neznámá osoba. Při stanovení sankce bylo přihlédnuto i k přitěžující okolnosti, že správce uvedl zavádějící informaci týkající se počtu odcizených dokumentů s osobními údaji. Ohlásil totiž ztrátu přibližně 80 smluv, ale ve skutečnosti krabice obsahovala smluvní dokumentaci více jak 300 klientů.
Případ 5
Porušení Správce osobních údajů stěžovatelky neposkytl i přes její žádost žádné informace o zpracování jejích osobních údajů.
Pokuta 10.000 Kč
Důvod zahájení řízení Stěžovatelka zaslala Úřadu pro ochranu osobních údajů podnět, že správce osobních údajů nevymazal na její žádost její osobní údaje ze svých webových stránek a dále jí i přes její žádost neposkytl informace o zpracování jejích osobních údajů.
Průběh řízení Správci osobních údajů byla správním orgánem zaslána výzva k nápravě, tedy odstranění informací z webových stránek a poskytnutí stěžovatelce informace týkající se zpracování jejích osobních údajů. Osobní údaje byly z webových stránek odstraněny, avšak stěžovatelka žádné informace neobdržela. Následně byla správci osobních údajů odeslána výzva ke sdělení, jaké informace o zpracování osobních údajů byly stěžovatelce poskytnuty a k doložení tohoto sdělení. Správce však nereagoval.
Případ 6
Porušení Správce osobních údajů stěžovatelů neposkytl i přes jejich žádost žádné informace o zpracování jejich osobních údajů.
Pokuta 20.000 Kč
Důvod zahájení řízení Stěžovatel 1 podal podnět Úřadu pro ochranu osobních údajů, jelikož byl správcem kontaktováni v rámci monitorovaného hovoru avšak na jeho opakovanou žádost neobdržel informace o zpracování svých osobních údajů (konkrétně o tom, kde byl získán telefonický kontakt). Stěžovatel 2 byl kontaktováni i poté, co zaslal správci žádost k výmazu osobních údajů.
Průběh řízení Správci byla zaslána výzva k neprodlené nápravě protiprávního stavu a to tím, že poskytne stěžovatelům požadované informace, což se nestalo.
Případ 7
Porušení Zřizovatel odštěpného závodu, jakožto správce osobních údajů klientů, zpracovával při uzavírání smluv s klienty týkajících se poskytování úvěru v elektronické podobě za účelem uzavření a uchování smluvní dokumentace a zjednodušení tohoto procesu též biometrický podpis klientů, který nebyl nezbytný pro uzavření příslušné smlouvy ani pro její plnění. Dále uchovával veškeré záznamy telefonních hovorů s klienty, kteří s ním měli uzavřenou rámcovou smlouvu o poskytování bankovních produktů a služeb nebo smlouvu o úvěru, a to po celou dobu trvání smlouvy a dále po dobu dalších 10 let od splnění veškerých závazků klienta.
Pokuta 250.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč
Důvod zahájení řízení Podkladem pro zahájení řízení je protokol o provedené kontrole odštěpného závodu podle zákona o kontrole a zákona o ochraně osobních údajů na základě kontrolního plánu Úřadu pro rok 2018. Kontrolovaným účastníkem byl odštěpný závod zahraniční banky, který jako takový nemá právní osobnost, proto je účastníkem řízení společnost, která je zřizovatelem tohoto odštěpného závodu (resp. společnost, která prostřednictvím něj podniká na území České republiky).
Průběh řízení Správce osobních údajů nedodržel základní zásadu minimalizace údajů, když shromažďoval a následně uchovával biometrické podpisy svých klientů a dále uchovával zvukové záznamy veškerých telefonních hovorů s klienty po dobu delší, než je nezbytné pro účely, pro které jsou zpracovávány, přičemž správce žádným způsobem nerozlišoval, zda během hovoru s klientem došlo k uskutečnění obchodu či se jednalo pouze o hovor informativního charakteru/poradenství. (Doklady o uskutečněných obchodech jsou banky a pobočky zahraničních bank povinny uschovávat po dobu nejméně 10 let.)
Případ 8
Porušení Správce osobních údajů (poskytovatel bankovních služeb) použil osobní údaje subjektu údajů, která byla vedena jako statutární orgán klienta tohoto správce, k založení běžného účtu na jeho jméno, a to bez jeho vědomí. Osobní údaje byly protiprávně zpracovávány až do doby, kdy byl účet zrušen. Správce porušil zásadu zákonnosti, korektnosti a transparentnosti, použil osobní údaje pro nelegitimní účely a ve vztahu k založení a vedení běžného účtu nezajistil dostatečnou kontrolu dodržování vnitřních předpisů upravujících zabezpečení osobních údajů.
Pokuta 80.000 Kč
Důvod zahájení řízení Podkladem pro vydání příkazu je protokol o kontrole podle zákona o kontrole a GDPR.
Průběh řízení Zpracování osobních údajů za účelem založení běžného účtu nelze považovat za korektní ani zákonné, neboť subjekt údajů neuzavřel se správcem osobních údajů smlouvu o zřízení běžného účtu ani o jeho založení nevěděl. Správce osobní údaje zpracovával pro jiný účel, než k jakému byly použity, čímž porušil zásadu účelového omezení. Dále u správce chybí kontrola dodržování interních předpisů, tedy nebylo zajištěno dodržování zavedených technických a organizačních opatření vzhledem k tomu, že správce na existenci vedeného účtu přišel až na základě stížnosti subjektu údajů.
Závažnost jednání je zvýšena skutečností, že protiprávní jednání trvalo delší dobu (cca 1 rok a 5 měsíců), a že obviněný je bankou, tedy profesionálem v oboru, kde dochází k rozsáhlému zpracování osobních údajů.
Případ 9
Porušení Správce osobních údajů (obecně prospěšná společnost) neposkytl svému zaměstnanci i přes jeho e-mailovou žádost žádné informace o zpracování jeho osobních údajů.
Pokuta 5.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč
Důvod zahájení řízení Podkladem pro zahájení řízení byly podněty stěžovatele doručené Úřadu. Stěžovatel od svého zaměstnavatele obdržel potvrzení o zdanitelných příjmech ze závislé činnosti plynoucích na základě dohod o provedení práce, v nichž bylo vyplněno chybné rodné číslo, nebyla vyplněna adresa bydliště a byly uvedeny další nepřesnosti. Stěžovatel žádal o opravu nepřesných a chybných údajů, jeho žádosti však nebylo vyhověno do termínu odevzdání daňového přiznání finančnímu úřadu.
Průběh řízení Úřad zaslal správci osobních údajů výzvu k uvedení operací do souladu s GDPR s tím, že pokud subjekt údajů uplatní své právo na opravu osobních údajů, pak je správce povinen opravit jeho osobní údaje bez zbytečného odkladu. Následně stěžovatel zaslal zaměstnavateli žádost o opravu svých osobních údajů a o vystavení opravených potvrzení, což se nestalo. Správní orgán tedy zaslal správci osobních údajů výzvu k neprodlené nápravě protiprávního stavu s tím, že správce měl správní orgán neprodleně informovat o provedené nápravě a tuto skutečnost doložit. Reakce se dostavila až po stanoveném termínu.

 

Zelená pro Zákon o zpracování osobních údajů


Dočkali jsme se! Adaptační zákon k GDPR byl dne 24. 4. 2019 vyhlášen ve Sbírce zákonů, čímž nabyl účinnosti. Celé znění zákona č. 110/2019 Sb., o zpracování osobních údajů, lze nalézt zde.

Zákon upravuje a zpřesňuje Obecné nařízení o ochraně osobních údajů (GDPR), které platí pro jednotlivé členské státy EU automaticky. Zajímá Vás, jaké výjimky se podařilo prosadit? Přinášíme přehled, z našeho pohledu, těch nejdůležitějších:

Při zajišťování chráněného zájmu státu není správce povinen posuzovat před zpracováním osobních údajů k jinému účelu, než ke kterému byly shromážděny, slučitelnost těchto účelů. Chráněným zájmem se rozumí obrana, veřejný pořádek, ochrana práv a svobod, vymáhání nároků aj.

Dítě nabývá způsobilosti k udělení souhlasu se zpracováním osobních údajů dovršením patnáctého roku věku.

Provádí-li správce zpracování osobních údajů ve veřejném zájmu nebo na základě právního předpisu, může povinné informace (identifikace správce, účely zpracování, příjemci, doba uložení, existence práv, aj. dle čl. 13 nařízení) poskytnut prostřednictvím dálkového přístupu.

Posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením nemusí správce provádět, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.

Úřad může upustit od uložení správního trestu v případě uložení opatření k odstranění zjištěných nedostatků. Zároveň může Úřad stanovit přiměřenou lhůtu pro odstranění nedostatků.

Zákon upouští od uložení správního trestu, jedná-li se o orgány veřejné moci a veřejné subjekty.

Řízení zahájená podle zákona č. 101/2000 Sb., která nebyla pravomocně skončena přede dnem nabytí účinnosti tohoto zákona, se dokončí podle zákona č. 101/2000 Sb.

 

Společně se zákonem č. 110/2019 Sb., o zpracování osobních údajů nabývá účinnosti také zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.

Netýká se některý ze změněných předpisů právě Vás? Zpracovali jsme jejich seznam:

1. Trestní řád;
2. Občanský soudní řád;
3. Zákon o organizaci a provádění sociálního zabezpečení;
4. Notářský řád;
5. Zákon o Vězeňské službě a justiční stráži České republiky;
6. Zákon o České národní bance;
7. Zákon o stavebním spoření a státní podpoře stavebního spoření;
8. Zákon o Ústavním soudu;
9. Zákon o státním zastupitelství;
10. Zákon o Rejstříku trestů;
11. Zákon o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců a poslanců Evropského parlamentu;
12. Zákon o advokacii;
13. Zákon o veřejném zdravotním pojištění;
14. Zákon o civilním letectví;
15. Zákon o svobodném přístupu k informacím;
16. Zákon o Probační a mediační službě;
17. Zákon o soudech a soudcích;
18. Soudní řád správní;
19. Zákon o podnikání na kapitálovém trhu;
20. Zákon o archivnictví a spisové službě;
21. Zákon o nemocenském pojištění ;
22. Zákon o výkonu zabezpečovací detence;
23. Zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu;
24. Zákon o Policii České republiky;
25. Daňový řád;
26. Zákon o Generální inspekci bezpečnostních sborů;
27. Zákon o doplňkovém penzijním spoření;
28. Zákon o Finanční správě České republiky;
29. Zákon o Celní správě České republiky;
30. Zákon o mezinárodní justiční spolupráci ve věcech trestních;
31. Zákon o Vojenské policii;
32. Zákon o kybernetické bezpečnosti;
33. Zákon o státní službě;
34. Zákon o ozdravných postupech a řešení krize na finančním trhu;
35. Zákon o hazardních hrách;
36. Zákon o centrální evidenci účtů;
37. Zákon o vysokých školách;
38. Zákon o evidenci obyvatel;
39. Zákon o zdravotních službách.

 

Co se ještě událo v ochraně osobních údajů?

Kromě dalších udělených pokut, z nichž pro nás nejzajímavější jsou ty, jež udělil český Úřad pro ochranu osobních údajů, stojí za zmínku nečekané rozhodnutí německého soudu, který potvrdil závěr místního orgánu pro ochranu osobních údajů.

Ze závěrů dolnosaského soudu vyplývá, že správce údajů (právnická osoba) porušil ustanovení Obecného nařízení, když ve služebních vozech používal GPS zařízení, a to i přesto, že zaměstnanci byli o této skutečnosti informováni. Co je správci vytýkáno je fakt, že nebyli informováni potažmo nedali souhlas k tomu, že vozidla budou sledována i mimo pracovní dobu.
Výše pokut, jež ÚOOÚ udělil za porušení GDPR k 20. 3. 2019
1. 10.000,- Kč
2. 30.000,- Kč
3. 15.000,- Kč
4. 30.000,- Kč
5. 10.000,- Kč
6. 20.000,- Kč

Zdroj: https://www.uoou.cz

 

GDPR neprávem u ledu, ale to se změní

Obecné nařízení o ochraně osobních údajů neboli GDPR je zde s námi již několik měsíců. Správci a zpracovatelé osobních údajů, kteří se rozhodli implementovat jej do své praxe, už většinu potřebných kroků učinili. Ti, kteří se rozhodli GDPR nezabývat, ho zatím bez následků dále úspěšně ignorují. Důvod je jasný…

Chybí nám adaptační zákon o zpracování osobních údajů, který byl minulý týden Senátem vrácen Poslanecké sněmovně s pozměňovacími návrhy. Než bude přijat, nemusíme se žádných sankcí obávat. Ale to jen u nás je téma GDPR opomíjeno. V zahraničí se kolotoč dávno rozjel.

Horkou zprávou ledna bylo, že francouzský úřad udělil společnosti Google pokutu ve výši 50 mil. EUR za nedostatečné informování uživatelů o účelu zpracování osobních údajů. Více… 

Teď se pozornost zaměří na poskytovatele streamovacích služeb Amazon Prime, Apple Music, Netfix, SoundCloud, Spotify, YouTube, Flimmit a DAZN. Více…

Další kauzy budou následovat. Říkáte si, že to jsou velké ryby, že nás se to netýká? Ale týká. Pokuty se udělují i menším, lokálním organizacím. Jen se o tom tolik nepíše…

I v České republice už proběhly kontroly ze strany Úřadu pro ochranu osobních údajů. Většina jich byla provedena na základě podnětu. Úřad kontroloval například půjčovnu automobilů, oprávněnost instalace kamerového systému před toaletami v obchodním centru, webovou aplikaci insolvenčního rejstříku nebo zabezpečení osobních údajů zpracovávaných v souvislosti s provozováním online hry. A závěry? Tam, kde úřad konstatoval porušení, uložil nápravná opatření a zahájil řízení o přestupku. Více…

Opravdu není radno GDPR zanedbávat!

Naše společnost realizovala několik desítek implementací Nařízení v různém rozsahu od minimalistické verze čítající jen nevyhnutelné kroky až po komplexní zavedení včetně školení odpovědných pracovníků. Tam, kde již bylo GDPR implementováno, nyní realizujeme interní audity.

Ať už se jedná o individuální podnikatelé, menší či větší s.r.o. či a.s. nebo veřejné subjekty školství a státní správy, všude se vyskytují v podstatě shodné chyby a nedostatky.

Organizace nevedou záznamy zpracování osobních údajů nebo nevedou tyto záznamy pro všechna zpracování osobních údajů. 
   
Zaměstnanci nezískali povinné informace o osobních údajích, které o nich organizace zpracovávají.
   
Subjektům údajů nejsou poskytovány povinné informace o osobních údajích, jež o nich organizace zpracovávají. 
   
Nebyl zveřejněn kontakt na pověřence v případech, kdy má organizace povinnost pověřence jmenovat. 
   
Organizace nedisponují souhlasy se zpracováním osobních údajů pro účely dotačních projektů.
   
Organizace nedisponují platnými souhlasy se zpracováním fotografií pro marketingové účely (například fotografie na webu). 
   
Zpracovatelské smlouvy neprošly revizí, neobsahují záruky zavedení vhodných technických a organizačních opatření  splňující požadavky GDPR. 
   
Do prostor s uloženými osobními údaji je umožněn samostatný přístup neoprávněným osobám (například pracovníkům úklidu).
   
Dokumenty s osobními údaji jsou nedostatečně chráněny (absence hesel nebo sdílená hesla, fyzická dokumentace je volně přístupná, nezamykají se skříně s uloženými dokumenty). 
   
Pracovníci přicházející do styku se subjekty údajů nejsou seznámeni s postupem pro přijetí požadavku subjektu údajů. 

Čtvrt roku s GDPR aneb žádný boom se nekoná

Nezdá se to, ale je tomu již čtvrt roku, co se celá Evropská unie včetně České republiky horečně připravovala na začátek účinnosti Obecného nařízení o ochraně osobních údajů (známé jako GDPR). První půle letošního roku byla plná obav, temných předpovědí a negativních názorů na tuto problematiku.
S odstupem času lze konstatovat, že po 25. květnu 2018 k žádné tragédii nedošlo. Země se točí dál, politici stále pletichaří a obyčejný lid se s novými pravidly srovnal. Na druhou stranu, nic není ideální. Co zajímavého se tedy u nás za poslední 3 měsíce v oblasti GDPR událo?

Adaptační zákon o zpracování osobních údajů je stále jen ve fázi návrhu.

Vláda předložila návrh zákona poslanecké sněmovně koncem března. Již tehdy bylo zřejmé, že se zákon nestihne projednat do stanoveného květnového termínu. Ani v srpnu na tom nejsme o moc lépe. Návrh zákona neprošel ani druhým čtením, neboť projednávání bylo na schůzi přerušeno a poslanci se krátce na to rozutekli na dovolenou. Návrh zákona se tedy opět na řadu dostane nejdříve v září.

Že nebyl zákon dosud přijat, nás v podstatě může nechat chladnými, protože podstata regulace ochrany osobních údajů je v Obecném nařízení. Navrhovaný zákon pouze upřesňuje některé vybrané případy zpracování osobních údajů, které GDPR připouští a nahradí dosavadní zákon o ochraně osobních údajů.

Jak to tak bývá, většina členských zemí EU své adaptační zákony stihly připravit. Kromě Česka mají zpoždění při přijímání národních norem Belgie, Bulharsko, Kypr, Řecko, Maďarsko, Litva a Slovinsko.

Úřad pro ochranu osobních údajů se nadále považuje za dozorový orgán, i když adaptační zákon nebyl dosud přijat.

Stále častěji se ozývají hlasy, že v ČR panuje jakési bezvládí, jelikož nový zákon o zpracování osobních údajů nebyl dosud přijat a tím nebyl stanoven dozorový úřad nad ochranou osobních údajů. V podobném duchu se vyjádřilo i MPSV ve své tiskové zprávě.

Proti těmto úvahám se však Úřad pro ochranu osobních údajů (ÚOOÚ) důrazně ohradil a trvá na tom, že dozorový úřad v ČR existuje a bude existovat i nadále. Je jím ÚOOÚ, který stejně jako všechny ostatní správní úřady v ČR nemá právní subjektivitu. Je pouhým souborem kompetencí, tudíž je lhostejné, který zákon jej zřizuje, zda zákon o ochraně osobních údajů nebo zákon o zpracování osobních údajů. Podstatná je jeho působnost. Nicméně sama předsedkyně ÚOOÚ Ivana Janů nedávno uvedla, že sankce úředníci nebudou dávat do doby, než bude adaptační zákon účinný.

Navzdory očekávání se se stížnostmi pytel neroztrhl.

ÚOOÚ aktuálně prověřuje několik případů úniků dat, které se týkají většího počtu osob, a spolupracuje s dalšími evropskými dozorovými úřady na řešení některých z nich. Úřad na svých stránkách rovněž uvádí, že od 25. května do druhé poloviny července obdržel téměř 650 stížností v souvislosti s Obecným nařízením o ochraně osobních údajů, což je zhruba trojnásobný nárůst ve srovnání se stejným obdobím loňského roku.

Dle sdělení Andrei Jelinek, předsedkyně nedávno zřízené Evropské rady pro ochranu údajů, byly na mezinárodní úrovni zaregistrovány stížnosti proti velkým institucím. Rakouský právník Max Schrems, dlouhodobý kritik toho, jak Facebook a Google nakládají s daty, podal žalobu právě na zmíněný Facebook,  na jeho dvě společnosti Instagram a WhatsApp a jednu na Android, který patří Googlu. Společnosti Facebook i Google tak hrozí pokuta více než 3,5 miliard eur (každé).

GDPR mělo mimo jiné zamezit nevyžádaným obchodním sdělením a zprávám. To se zatím úplně nedaří.

S nástupem GDPR neustaly telefonáty s nabídkami zboží a služeb. Jak uvedl mluvčí ÚOOÚ Tomáš Paták část ze stížností na porušení nových pravidel tvoří oblast telemarketingu či praktiky při vyžadování souhlasu se zpracováním osobních údajů.

E-mailové schránky nejednoho z nás byly doslova zahlceny žádostmi o poskytnutí souhlasu ať už ze strany firem nebo i veřejných institucí. Bohužel zde došlo k nepochopení právního titulu souhlasu. V řadě běžných situací totiž souhlas vůbec potřeba není. Mnohdy se lze opřít o jiný právní titul například smluvní vztah se subjektem údajů, plnění právních povinností správce nebo oprávněný zájem správce a v těchto případech dokonce souhlas nesmí být vyžadován. Stále se nepodařilo vyvrátit mylný názor, že získáním souhlasu subjektu údajů jsou všechny problémy se zpracováním osobních údajů vyřešeny.

Zpravodajský server U.S. News and World Report ve svém článku o GDPR uvádí, že přestože mnozí odborníci tvrdí, že může trvat několik let, dokud nebudou schopni posoudit účinnost GDPR, většina věří, že se nakonec podaří vrátit soukromí zpět jejich vlastníkům.

Kostky byly vrženy a první nárazovou vlnu máme za sebou. Teď bude záležet na přístupu občanů, podnikatelů, úřadů i institucí. 

Nejčastější chyby a omyly v GDPR. Aneb pravda nebo lež?

O GDPR toho bylo napsáno mnoho. Přesto nebo právě proto existuje spousta nepravd či nepřesností, které bychom rádi uvedli na pravou míru.

GDPR představuje revoluci v ochraně osobních údajů.
GDPR přináší minimum úplných novinek. Většina pravidel již byla v zákonech České republiky zakotvena.
Nařízení GDPR je sice aktuálně nejucelenější soubor pravidel na ochranu osobních údajů na světě, avšak pro vás, kteří se řídili zákonem 101/2000 Sb. o ochraně osobních údajů se toho mnoho nemění.

 

Nemáme prováděcí předpis, GDPR se v ČR odsouvá.
Nařízení GDPR nabylo účinnosti 25. května 2018 a platí v celé Evropské unii, tedy i v České republice.
Nařízením GDPR se musíme řídit, a to navzdory faktu, že dosud nebyl přijat adaptační zákon o zpracování osobních údajů.

 

Databázi e-mailových kontaktů nelze použít, dokud nezískáme nové souhlasy.
Toto je jedna z nejrozšířenějších polopravd. Vždy je totiž potřeba sledovat účel použití daného osobního údaje.
Máte-li databázi kontaktů, do které se vám zákazníci sami svobodně přihlásili a udělili Vám souhlas pro zasílání obchodních či marketingových sdělení, potom můžete tuto databázi dále používat. Jestli však svobodný souhlas nemáte nebo je vaše evidence zanedbaná, bude nutné získat souhlasy nové. Avšak jedná-li se o kontakty zákazníků či obchodních partnerů, s kterými aktivně spolupracujete, a účel zaslaného e-mailu se této spolupráce týká, není souhlas nutný, protože se jedná o váš oprávněný zájem. Což je případ tohoto sdělení, které právě čtete. Důležité však je, že ve všech případech musí mít adresát možnost se ze zasílání e-mailů odhlásit. 

 

Chyby vás přijdou na 500 mil. Kč!
Je pravda, že GDPR zavádí pokuty ve výši 20 mil. EUR nebo 4% z celosvětového obratu, avšak pokuty nemají být likvidační.
Pokuty by dle Nařízení měly být účinné, přiměřené a odrazující. Dá se očekávat, že jako doposud bude Úřad pro ochranu osobních údajů posuzovat závažnost porušení a udělené pokuty budou mít spíše výchovný charakter.

 

Každá organizace má mít pověřence.
Institut pověřence neboli DPO je jednou z mála novinek, kterou GDPR zavádí, ale rozhodně není povinný pro všechny společnosti.
Nejste-li orgán moci veřejné, veřejný subjekt, neprovádíte rozsáhlé, pravidelné či systematické zpracování osobních údajů, potom pověřence povinně jmenovat nemusíte (ovšem můžete na dobrovolné bázi). Nevíte-li, kde takového odborníka sehnat, neváhejte se na nás obrátit.

 

Potřebujeme certifikát, že jsme v souladu s GDPR.
Takový požadavek nemá oporu v Nařízení ani žádném platném zákoně. 
S nabídkami certifikátů na GDPR nebo i pověřence se roztrhl pytel, nicméně aktuálně žádná oficiální forma ověření správnosti postupů či profesních kvalit neexistuje.

 

Osobní údaj je jméno, adresa a rodné číslo.
Osobní údaj je jakákoliv informace, která vede k identifikované nebo identifikovatelné fyzické osobě. 
Kromě výše uvedených příkladů, může být osobním údajem také telefonní číslo, e-mailová adresa, IP adresa, fotografie či videozáznam nebo jakákoliv informace (pohlaví, věk, otisk prstu, podpis atd.), kterou lze přiřadit ke konkrétní osobě.

 

Každá fyzická osoba má právo na vymazání veškerých osobních údajů, které o ní v naší databázi vedeme.
Takové právo skutečně existuje, je však potřeba důsledně oddělit, co smazat lze a pro které údaje tato povinnost neplatí. 
O provedení výmazu můžete být kdykoliv kýmkoliv požádáni. Ovšem je potřeba určit, co vymazat lze (obvykle údaje, které používáte na základě souhlasu, jež vám subjekt údajů udělil), a které údaje si naopak musíte ponechat. Například z důvodu smluvního plnění, uschování pro účely archivace (dle platných zákonů), účetnictví, reklamačního řízení atd. Mějte na paměti, že všechna práva, jež subjekt údajů bude chtít uplatnit, se týkají jak fyzických, tak elektronických záznamů.

 

Osobní údaje musí být šifrovány.
Nařízení GDPR neukládá povinnost použít nějaké specifické opatření. 
Povinností společností je zabezpečit osobní údaje proti zneužití. Šifrování je uvedeno jako jedna z možností, jak snížit riziko úniku dat, avšak není samospasitelné. A pokud vám někdo nabízí software, který vyřeší implementaci GDPR jednou pro vždy, nevěřte tomu! Nic takového neexistuje.

 

Musí se hlásit každý ztracený papír.
Je na místě posuzovat celou věc v širším kontextu. Nevzniklo-li riziko pro práva a svobody fyzických osob, ohlášení není nutné. 
Nařízení GDPR ukládá povinnost ohlásit Úřadu pro ochranu osobních údajů porušení zabezpečení osobních údajů do 72 hodin od zjištění takového porušení. Pokud případné zneužití uniklých údajů nezpůsobí závažnou újmu, nepoškodí či neohrozí práva a svobody subjektu údajů, hlášení Úřadu nebude provedeno. Avšak stále se jedná o porušení zabezpečení osobních údajů, tudíž doporučujeme tento incident nahlásit pověřenci nebo minimálně zaevidovat. 

 

Pro všechna zpracování musíme připravovat Posouzení vlivu na ochranu osobních údajů.
Posouzení vlivu na ochranu osobních údajů je potřeba zpracovat jen za určitých předpokladů…
…a to je-li pravděpodobné, že zamýšlené zpracování (zejména při využití nových technologií) bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Součástí dokumentu potom bude posouzení rizika, hodnocení dopadů a popis přijatých technicko-organizačních opatření k zajištění ochrany osobních údajů. 

 

Všechny naše výstupy musí být anonymní.
U GDPR platí, nedělat z komára velblouda a spolehnout se na zdravý selský rozum. V tomto případě to platí dvojnásob.
Anonymizované výstupy by mnohdy postrádaly smysl své existence. K čemu by vám byl vystavený certifikát o vzdělání, pokud by na něm nebylo uvedeno jméno osoby, které byl udělen? Ovšem jako všude i zde platí zásada minimalizace. Tedy uvádět jen takové osobní údaje, které jsou pro dané zpracování nezbytné. Na certifikátu bude z osobních údajů figurovat jméno, příjmení, datum narození. Tyto údaje jsou zpravidla dostatečné k identifikaci osoby a není nutné uvádět ještě i adresu bydliště, místo narození, neřku-li rodné číslo

 

GDPR pro nás znamená nárůst administrativy, úpravy interních procesů ve společnosti a s tím spojené zvýšené náklady. To je bezesporu pravda, ale zkusme jednou najít na tom „zlém“ i něco dobrého!

Máte jedinečnou příležitost k inventuře, jaká data se u vás ve společnosti vyskytují a jak je o ně postaráno. A nejde jen o osobní údaje, ale i další informace, které každodenně využíváte. Jsou v bezpečí? Kdo k nim má přístup? Jak se zpracovávají? A určitě se u vás najdou i nějaké prohřešky proti bezpečnosti, nad jejichž nápravou by bylo vhodné se zamyslet. 😉