Legitimace a souhlas s kopírováním dokladů

Doklad totožnosti za účelem legitimování naší osoby vytahujeme čím dál častěji. Někdy do něj dotyčný jen nahlédne, jindy jsou z něj opsány údaje nebo je pořízena jeho kopie. Pojďme se podívat, kdy máme povinnost prokazovat svou totožnost, zda musíme souhlasit s kopírováním dokladu a jak se případně můžeme bránit.

K tomuto tématu nedávno zveřejnil Úřad pro ochranu osobních údajů poměrně rozsáhlý dokument Prokazování totožnosti a zpracování osobních údajů . My vám přinášíme to nejdůležitější obohaceno o náš pohled. 

Občanský průkaz je dle zákona č. 328/1999 Sb., o občanských průkazech veřejnou listinou, kterou občan prokazuje svá jména, příjmení, podobu, státní občanství a další údaje. Ještě letos se pravděpodobně začnou vydávat občanské průkazy s čipy, které budou povinně obsahovat také biometrické údaje – kromě fotky i dva otisky prstů. 

Je-li to druhou stranou akceptováno, lze jako průkaz totožnosti využít i cestovní doklad (obsahuje-li fotografii držitele) nebo jiný doklad, například řidičský či služební průkaz. 

Prokázání totožnosti vůči orgánům veřejné moci je zákonná povinnost občana.

Policie České republiky je oprávněna požadovat prokázání totožnosti. Podle zákona o Policii ČR však rozsah a způsob zjišťování osobních údajů musí být přiměřené účelu zjišťování totožnosti. 

Koho by snad napadlo vzdorovat či svou totožnost na místě prokázat nemohl, je policista oprávněn odpůrce předvést na policii za účelem zjištění jeho totožnosti dle evidencí, sejmutím otisků prstů, zjišťováním tělesných znaků, měřením těla, pořizováním obrazových, zvukových a jiných záznamů či odebíráním biologických vzorků. 

Obdobná oprávnění mají i příslušníci některých jiných bezpečnostních sborů (vojenská policie, příslušník hasičského záchranného sboru atd.) či strážník dle zákona o obecní policii. 

Zjišťovat totožnost však mohou i další orgány veřejné moci na základě příslušných zákonů například podle daňového řádu, kontrolního řádu, zákona o inspekci práce, zákona o rybářství, zákona o ochraně přírody a dalších. 

Totožnost účastníků soudního řízení ověřují soudy. Stejně tak je potřeba prokázat správním orgánům totožnost účastníků správního řízení.

V některých případech máme zákonnou povinnost prokázat svou totožnost také vůči fyzickým či právnickým osobám, bez jejíhož splnění by nebylo možno uplatnit určité právo či poskytnout nějakou službu.

Zákonnou povinnost identifikovat klienta mají povinné osoby – banky, investiční společnosti, pojišťovny, auditoři, daňoví poradci, účetní – podle zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (dále jen zákon č. 253/2008 Sb.). 

Svou totožnost musíme jakožto volič prokázat volební komisi, jsme-li pacient, prokazujeme ji zdravotnickému pracovníkovi, totožnost prokazujeme také při výkupu kovového odpadu, do kasina nás bez tohoto úkonu nepustí a zariskujeme-li cestování v roli černého pasažéra, prokazujeme svou totožnost osobě pověřené ke kontrole. Stejně tak účastníci dopravní nehody by neměli odmítnout vzájemnou legitimaci. 

Uzavírání řady smluv se také neobejde bez prokázání totožnosti.

Stejně tak může být oprávněný i požadavek na prokázání totožnosti návštěvníka objektu – výrobní haly, skladu, kancelářské budovy, areálu školy apod. Můžeme být vyzváni k předložení občanského průkazu, služebního průkazu či jiného odpovídajícího dokumentu (třeba předvolání). 

Nezřídka dochází k zaznamenání osobních údajů návštěvníka. Obvykle z bezpečnostních důvodů pro případ vzniku mimořádné události a potřeby následné identifikace návštěvníka.

Správce osobních údajů by měl dle GDPR dbát na minimalizaci osobních údajů. Lze zaznamenat jméno a příjmení návštěvníka, číslo a typ předkládaného dokladu, účel návštěvy či jméno navštívené osoby. Je však nezbytné informovat návštěvníky proč, jakým způsobem a po jakou dobu budou jejich osobní údaje zpracovávány. 

Pořizování kopií dokladů totožnosti je poměrně častý jev, byť ve většině případů by mělo stačit jejich pouhé předložení a případné zaznamenání (opsání) nezbytných údajů. Ani orgány veřejné moci při kontrole totožnosti fyzické osoby zpravidla kopii občanského průkazu či cestovního dokladu nepotřebují a ani zákon jim takový postup neukládá.

Zákonem stanovené pořizování kopií těchto dokladů je spíše výjimečné. Kopie se například přikládá k žádosti o ověření rodného čísla.  Kopie či výpisy z předložených dokladů mohou pořizovat povinné osoby dle zákona č. 253/2008 Sb. Kromě bank, dalších finančních institucí, pojišťoven, notářů patří mezi povinné osoby také obchodníci s uměleckými díly či bazary a zastavárny. Nicméně zákonná povinnost zpracovávat kopie průkazu totožnosti je těmto osobám dána pouze v případech, kdy dochází k uzavření smlouvy bez fyzické přítomnosti klienta (například při sjednání bankovního účtu na dálku – online). Jinak by pořizování kopií nemělo být plošné, ale v konkrétních případech odůvodněné (například při podezření na možné porušování zákona).  

Vzhledem ke zneužitelnosti občanského průkazu (případně cestovního dokladu) stanoví příslušné zákony zákaz pořizovat jakýmikoliv prostředky kopie těchto průkazů bez prokazatelného souhlasu občana, kterému byl průkaz vydán. Z praxe však víme, že poskytnutí některých služeb je podmiňováno souhlasem s pořízením kopie průkazu totožnosti. Takový souhlas však není získán v souladu s GDPR, neboť nenaplňuje podmínku svobodného projevu vůle.  

Neoprávněné pořízení kopie občanského průkazu nebo cestovního dokladu je v současné době přestupkem fyzické osoby, která kopii pořídila (byť se tak stalo na základě rozhodnutí zaměstnavatele/právnické osoby) a tento přestupek projednává příslušný obecní úřad. Aktuálně se však projednává novela zákona o občanských průkazech, kde se už počítá s tím, že za takové jednání bude moci být postihnuta i právnická osoba. Nicméně z pohledu GDPR je za správné (a minimalistické) zpracování osobních údajů odpovědný správce, tedy ve zmíněném případu právnická osoba. Tento přestupek patří do agendy Úřadu pro ochranu osobních údajů.

Pozor na pořizování kompletních kopií dokladů a jejich ukládání do evidence. Mohou obsahovat i další osobní nebo i citlivé údaje, které nejsou nezbytné pro daný účel a došlo by tak k porušení zásady minimalizace zpracovávaných údajů. Zde se pak jedná o zpracování osobních údajů na základě souhlasu se zpracováním osobních údajů ve smyslu GDPR (tedy svobodný, konkrétní, informovaný a jednoznačný). 

Možné porušení zásady minimalizace i v případě osobních dokladů bývá někdy řešeno pořízením kopie pouze části dokladu se zakrytím nepotřebných údajů např. pomocí šablony, což je akceptovatelné (např. při uzavírání soukromoprávních smluv).

Přestupky proti zpracování osobních údajů projednává Úřad pro ochranu osobních údajů.  

Proto jsme-li žádáni o umožnění pořízení kopie svého průkazu totožnosti, měli bychom se zajímat, zda je požadavek vznášen na základě zákona nebo na základě dobrovolného souhlasu. Rovněž by nám nemělo být lhostejné, jaké jsou pro to důvody a případné následky odmítnutí. Není-li pořízení kopie pro ověření totožnosti nezbytné, mělo by stačit pouhé nahlédnutí do dokladu či zaznamenání příslušných údajů. 

Pokud byla kopie občanského průkazu nebo cestovního dokladu pořízena neoprávněně, obraťme se se stížností na příslušný obecní úřad s rozšířenou působností. Máme-li podezření na porušení zásady minimalizace (například při ukládání kompletních kopií), jedná se o porušení GDPR, což přísluší k posouzení Úřadu pro ochranu osobních údajů. 

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Testování zaměstnanců – GDPR a odpady

Množí se nám s dotazy, jak se ve firmě postavit k povinnému testování zaměstnanců. Co na to GDPR? A kam s odpadem? 

Povinnost testovat zaměstnance na přítomnost nákazy COVID-19 je zaměstnavatelům nařízena mimořádným opatřením Ministerstva zdravotnictví MZDR 47828/2020-16/MIN/KAN . Přestože se týká zaměstnavatelů s více jak padesátkou zaměstnanců, dá se do budoucna očekávat, že tato povinnost bude rozšířena i na menší společnosti.

Při plnění uložené povinnosti zajišťovat testování zaměstnanců dochází ke zpracování osobních údajů. Zaměstnavatel je v tomto případě správcem a nepotřebuje souhlas zaměstnance. Záznamy o provedených testech u jednotlivých zaměstnanců pořizuje z důvodu zákonné povinnosti a veřejného zájmu v oblasti veřejného zdraví. Jen je potřeba dát pozor na rozsah evidovaných údajů. 

Na webu Ministerstva průmyslu a obchodu je zveřejněn vzor přehledu o provedených testech . Tyto záznamy mohou obsahovat jméno, příjmení, číslo pojištěnce, údaje o zdravotní pojišťovně, údaje o čase provedení testu a výsledku, případně je možno uvést důvod výjimky z testování. Vyjádření Úřadu pro ochranu osobních údajů k povinnosti evidovat testy naleznete zde 
Pozor, pracujeme se zvláštní kategorií osobních údajů (citlivé údaje), které vyžadují důsledné zabezpečení a rozhodně není možné tyto údaje uchovávat po neomezeně dlouhou dobu.

Evidence by měla být zpřístupněna pouze osobám, jež zaměstnavatel pověřil plněním úkolů spojených s dodržováním mimořádného opatření. 

Co se předávání těchto údajů týče (například pojišťovnám), nepředejme více, než co je požadováno. Informaci o pozitivním testu by měl sám zaměstnanec, jehož se výsledek týká, hlásit praktickému/podnikovému lékaři či jinému poskytovateli zdravotních služeb nebo orgánu hygieny.

Doba, po kterou je nutno vést a uchovávat evidenci, stanovena nebyla.
Z logiky věci je však potřeba ponechat si ji po dobu účinnosti mimořádného opatření k provádění povinného testování zaměstnanců a pro případné kontroly zpracování plateb a nároků, které mohou v důsledku testování vzniknout. Po této době musí následovat fyzická i elektronická likvidace údajů. 

Nezapomínejme, že i v tomto případě jsme povinni zaměstnance informovat o tom, kdo jeho osobní údaje zpracovává, komu budou předávány (např. zdravotním pojišťovnám, orgánům ochrany veřejného zdraví), jaký je právní základ tohoto zpracování a po jakou dobu budou údaje uchovávány. Rovněž mu nesmíme zatajit informace o druhu a povaze testů či způsobu testování.

Na závěr je potřeba zdůraznit, že i toto zpracování by mělo být vedeno v záznamech o činnostech zpracování dle článku 30 obecného nařízení. 

Druhý dotaz našich klientů se týká likvidace kontaminovaného materiálu z antigenních testů. Ministerstvo životního prostředí k této problematice vydalo metodické sdělení , které tento odpad zařazuje jako směsný komunální odpad pod katalogové číslo 20 03 01. Je však potřeba dodržet určité postupy při manipulaci s tímto odpadem:

Veškerý odpad z testovacích výrobků ukládejte do pevného plastového pytle určeného na odpady o minimální tloušťce 0,2 mm (u tenčích pytlů obal zdvojte).
Po naplnění pytle (nejpozději do 24 hodin) pytel pevně zavažte a na povrchu ošetřete dezinfekčním prostředkem.
Pytel odložte do černého kontejneru na směsný komunální odpad. Nikdy odpad nenechávejte mimo sběrnou nádobu!
Po manipulaci s odpadem si důkladně umyjte ruce mýdlem a teplou vodou nebo použijte dezinfekci. 
Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Novinky z GDPR – Den ochrany osobních údajů 2021

Den ochrany osobních údajů 2021
Přesně před 40 lety přijala Rada Evropy Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů jakožto první zákonodárný dokument, který upravoval oblast ochrany osobních údajů. Na tuto úmluvu následně navázaly další zákony v čele s obecným nařízením GDPR.

Připomeňme si právě dnes, proč je ochraně osobních údajů věnována pozornost. Každodenně jsme svědky neustále se prohlubující digitalizace, komunikační technologie pomalu ukrajují z naší anonymity a řečeno trochu nadneseně,  řídí naše životy.

Nekorektní jednání a prospěchářství je staré jako lidstvo samo. Není tedy s podivem, že jsou moderní technologie zneužívány ve snaze o manipulaci lidí, zisk či dosažení jiného cíle. Osobní údaje, potažmo naše soukromí, je v této souvislosti potřeba chápat jako komoditu, kterou je nezbytné chránit, jinak o ni přijdeme.

DEN OCHRANY OSOBNÍCH ÚDAJŮ

28. ledna 2021

Pojďme tedy nahlédnout, co se na poli GDPR v poslední době událo.

Zjistili jsme, jak se to má s certifikací GDPR. Organizace, které mají zájem zdokumentovat a doložit svůj soulad s GDPR nemusí čekat na dokončení zdlouhavého schvalovacího procesu zavedení akreditace zajišťované Českým institutem pro akreditaci, o.p.s. (ČIA). Mají i jiné možnosti.

Dáváte pozor na osobní údaje, které zpracováváte? Někteří berou GDPR na lehkou váhu. Výtečníků, které napadlo rozesílat spam do datových schránek si už Úřad pro ochranu osobních údajů (ÚOOÚ) všiml a pokuty na sebe nenechaly dlouho čekat.

Kapry z českého rybníčku nelze srovnávat s úlovky ze zahraničí. Portál Finance in Bold  na svých stránkách uvádí, že v zemích EU byly v roce 2020 rozdány pokuty ve výši 306,3 milionů EUR. Rozhodně se nejedná o konečné číslo, neboť v žebříčku nejsou ještě zahrnuty všechny země. Co do výše udělených pokut vede Francie, která nehodlá pochybení odpustit Googlu, Amazonu a dalším. Bude zajímavé sledovat, zda zmíněné společnosti skutečně 138,3 milionů EUR zaplatí.   

A když už jsme zabrousili do zahraničí, mrkneme se na to, jaké nástrahy čekají na ty, kteří hodlají předávat osobní údaje do Velké Británie či USA. 

ÚOOÚ jakožto odpovědný dozorový státní orgán v oblasti dodržování českého zákona č. 110/2019 Sb., o zpracování osobních údajů a evropského předpisu č. 2016/679 o ochraně osobních údajů rozhodl, že pro posouzení odborné způsobilosti subjektů, které budou provádět posuzování shody s požadavky GDPR, bude využíváno akreditace zajišťované ČIA.

Aby tento proces mohl být zahrnut do akreditačního systému ČR, bylo zapotřebí, aby ÚOOÚ vytvořil dokument specifikující a doplňující obecné požadavky uvedené v GDPR s ohledem na základní pravidla akreditačního procesu. Vzhledem k faktu, že se jedná o velmi komplexní problematiku, vznikla následně na evropské úrovni pracovní skupina, která měla za cíl připravit evropský dokument jako vodítka pro místní dozorové orgány. Text připravený ÚOOÚ bylo tedy potřeba dle těchto vodítek upravit a předložit Evropskému sboru pro ochranu osobních údajů ke schválení. Ten vydal své stanovisko a doporučení k úpravám dokumentu dne 25. května 2020.

Současný model vychází z předpokladu, že by se základní posouzení odborné způsobilosti realizovalo dle požadavků normy ČSN EN ISO/IEC 17065:2013, která se využívá pro akreditaci certifikačních orgánů certifikujících hmotné a nehmotné produkty, ale také procesy a služby. Tak totiž norma definuje termín produkt. Dá se tedy předpokládat, že oficiální certifikace GDPR nebudou zahrnovat celé organizace, ale jen služby a produkty v konkrétním způsobu použití. 

V kontextu aktuální pandemie se však celá problematika upozadila a v tuto chvíli nemáme informaci o konkrétním termínu zavedení akreditace v oblasti GDPR v České republice. 

Samozřejmě je zde stále možnost nechat si  certifikovat interně nastavená pravidla a procesy týkající se osobních údajů nezávislým certifikačním orgánem neakreditovaně nebo v rámci certifikace systému řízení bezpečnosti informací (ISMS), kterou lze doplnit o certifikaci GDPR dle normy ISO/IEC 27701, jež nastavuje rámec pro zpracování osobních údajů nejen pro správce, ale i pro zpracovatele osobních údajů. Její zavedení v organizaci vede k dosažení kontroly nad zpracováním osobních údajů a nastavení procesů zmírňujících či eliminujících možná rizika. ISO 27701 je rozšířením ISO řady 27000, kde jsou obecná pravidla ISMS uplatňována na osobní údaje v intencích požadavků GDPR.

Certifikace dle normy ISO/IEC 27701 již v České republice probíhají. Zájem je především z oblasti zdravotnictví a od organizací, které zpracovávají rozsáhlé soubory velmi citlivých údajů. Jedním z certifikovaných je například Ústav zdravotnických informací a statistiky ČR. 

O rekordní pokutě udělené českým Úřadem pro ochranu osobních údajů ve výši 6 milionů korun za rozesílání nevyžádaných obchodních sdělení jsme psali v naší říjnové novince s názvem „Máte pořádek v souhlasech? Padla rekordní pokuta (GDPR)„.

Další z vyšších penalizací na sebe nenechala dlouho čekat a opět se jednalo o spam. Tentokrát si pokutu ve výši 3 111 000 Kč rozdělí jedenáct společností, které zaplevelily datové schránky rozesílanou nevyžádanou reklamou. Nekalé jednání je o to horší, že spameři se chtěli přiživit na období bezplatného rozesílání datových zpráv, které bylo nastoleno kvůli usnadnění komunikace mezi občany a státní správou v době nouzového stavu, aby lidé zbytečně nechodili na úřady. 

Pokuty byly uloženy nepravomocně, dotčené společnosti se tedy mohou proti nim odvolat.

V porovnání s ostatními zeměmi se držíme spíše na chvostu co se výše udělovaných pokut týče. Z dostupných zdrojů lze vyčíst, že kromě výše zmíněných bylo v České republice rozdáno osm dalších v celkové výši půl milionů korun (údaje za druhé pololetí nebyly v den vzniku tohoto článku aktualizovány). Pojďme se tedy podívat na ty největší úlovky ze zahraničních vod.

Přehled udělených pokut za porušení GDPR v roce 2020 v členění dle zemí EU

Přehled, který sestavil portál Finance in Bold (Finbold.com) sice neobsahuje všechny udělené pokuty za porušení pravidel GDPR za rok 2020, ale i tak se jedná o astronomické částky. Dvacítka zemí na 302 pokutách za loňský rok hodlá vybrat či již vybrala 306,3 milionů EUR, tedy 8 miliard korun českých. 

Podíl udělených pokut za porušení GDPR v roce 2020 v členění dle zemí EU

Google dostal v prosinci od francouzského úřadu pro ochranu osobních údajů pokutu 100 milionů EUR (2,6 miliardy Kč) za porušení pravidel pro sledování internetové reklamy, takzvaných cookies, jež používají internetové stránky k ukládání informací o činnosti uživatelů. Je to nejvyšší pokuta, jakou kdy tento úřad udělil.
A nezahálel, neboť si na paškál vzal také amerického internetového prodejce Amazon, kterému vyměřil za stejné porušení pravidel pokutu ve výši 35 milionů EUR (téměř miliarda Kč).
Údajně oba provozovatelé internetových stránek ve Francii nepožádaly předem své návštěvníky o souhlas s uložením reklamních cookies a neposkytly uživatelům jasné informace o tom, jak budou získané informace použity či jak mohou jejich použití odmítnout. Na nápravu mají nyní tři měsíce. Pokud tak neučiní, hrozí jim další pokuta, a to 100 tisíc EUR denně až do doby, než budou úpravy provedeny. Na celkovém objemu pokut se tak Francie podílí 45%.

V Hamburku se zas projednávalo protiprávní zpracování osobních údajů, kdy se společnost H&M nebála intenzivně monitorovat své zaměstnance. Informace o osobních a rodinných poměrech, zdravotním stavu, nemocech či náboženském přesvědčení systematicky zaznamenávala a bohužel si tyto záznamy nepohlídala. V důsledku technické chyby byly na několik hodin zpřístupněny v rámci firemní sítě. Tato chyba bude stát 35,3 milionů EUR (přibližně 920 milionů korun). 

O úniku osobních údajů a údajů karetních dat více než 400 tisíc klientů aerolinek British Airways jsme již také psali. Britský dozorový úřad původně avizoval pokutu 183 milionů britských liber. Po složitém vyjednávání však úřad aerolinkám na sklonku loňského roku uložil pokutu 20 milionů liber (zhruba 580 milionů korun). 

Také britskému hotelovému řetězci Marriott International snížil dozorový úřad prvotní pokutu z 99 milionů liber na 18,4 milionů (530 milionů korun). Zaplatit musí za únik dat stovek milionů hotelových hostů (jména, adresy bydliště, telefonní čísla, emailové adresy, příjezdy/odjezdy a další informace z databáze rezervačního systému jako jsou údaje o cestovních pasech či občanských průkazech).  

Na jihu Evropy uložil italský úřad místnímu telekomunikačnímu operátorovi Wind Tre SpA pokutu ve výši 17 milionů EUR (asi 440 milionů Kč) za porušení více pravidel při zpracování osobních údajů pro marketingové účely. Převážně šlo o marketingové oslovování uživatelů bez předchozího souhlasu a bez možnosti další komunikaci zabránit. 

Jak vidno na případu z Německa, ani přílišný prozákaznický přístup při vyřizování požadavků subjektu údajů na přístup k údajům se nemusí vyplatit. Místní telekomunikační operátor 1&1 Telecom GmbH nastavil příslušný proces způsobem, kdy stačilo zavolat na informační linku, uvést jméno a datum narození klienta a bez jakéhokoliv dalšího ověření dotyčný získal detailní klientská data.
Taková vstřícnost měla přijít na 9,55 milionů EUR (necelých 250 milionů korun). Do procesu byl však v rámci odvolání pokutovaného subjektu přizván i německý soud, dle kterého je současný německý model výpočtu pokuty nepřiměřený, neboť zásadním kritériem je výše obratu společnosti. Za malé prohřešky by byly velké společnosti pokutovány vysokými pokutami a naopak, malé společnosti by za velké prohřešky proti GDPR platily pakatel. Vzhledem k tomu, že se nejednalo o masový únik dat, ale o ojedinělé případy a dotčené osobní údaje jsou mnohdy veřejně dostupné a také že pokutovaná společnost ochotně spolupracovala, byla pokuta snížena soudním rozhodnutím o 90%.

Německý soud tak svým precedenčním rozsudkem poskytl velkým hráčům silnou zbraň až budou žádat o upuštění použití ustanovení Obecného nařízení zohledňující celosvětový obrat ve snaze vyhnout se vyšším pokutám, které by jim jinak hrozily.  

Ještě necelých šest měsíců bude GDPR v platnosti ve Spojeném království.

V praxi to znamená, že nevydá-li Evropská komise rozhodnutí o odpovídající úrovni ochrany osobních údajů ve Velké Británii umožňující jejich bezpečný transfer do Velké Británie, bude tato v brzké budoucnosti považována z pohledu předávání dat za třetí zemi.

Zmíněné rozhodnutí považuje třetí zemi z hlediska úrovně poskytované ochrany osobním údajům za bezpečnou a staví ji na roveň členským státům Evropské unie, kdy předávání osobních údajů do těchto zemí nevyžaduje ze strany předávajícího správce či zpracovatele přijetí žádných dodatečných opatření. Mezi tyto země se řadí Švýcarsko, Kanada, Argentina, Andorra, Izrael, Nový Zéland, Japonsko a další. 

Co však pro Spojené království přestalo platit s příchodem roku 2021 je mechanismus jediného kontaktního místa. Správci a zpracovatelé sídlící pouze ve Velké Británii musí jmenovat svého zástupce v jednom z členských států EU, ve kterém se vyskytují subjekty údajů, jejichž osobní údaje jsou zpracovávány v souvislosti s nabízeným zbožím či službami nebo jejichž chování je monitorováno. Zástupce musí být správcem nebo zpracovatelem zmocněn, že se na něj mohou obracet zejména dozorové úřady a subjekty údajů ohledně otázek souvisejících se zpracováním za účelem zajištění souladu s GDPR. 

Z podobného soudku pochází i červencová informace, že Evropský soudní dvůr prohlásil za neplatné Rozhodnutí 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU-USA na ochranu osobních údajů, který zajišťoval bezproblémový transfer osobních údajů mezi EU a USA. Nadále tak již není možné předávat osobní údaje do USA na základě tzv. štítu soukromí.

Používané standardní smluvní doložky však Evropský soud svým rozsudkem nezrušil, jejich použití ale podmiňuje testem přiměřenosti přijatých opatření v závislosti na okolnostech předání a zemi dovozce údajů. Což znamená, že si má správce či zpracovatel sám prověřit před předáním osobních údajů do třetí země, zda záruky a ochranná opatření v doložkách zajišťují srovnatelnou úroveň ochrany zaručené v Evropské Unii GDPR a Listinou základních práv. 

V případě USA toto posouzení učinil sám Evropský soudní dvůr a došel k závěru, že zde není zajištěna dostatečná ochrana předávaným osobním údajům ani účinná právní ochrana subjektům údajů. 

Z rozhodnutí Komise o standardních smluvních doložkách pak přímo vyplývá, že pokud vývozce a dovozce údajů dojdou k závěru, že standardní smluvní doložky nemohou být ve třetí zemi dodrženy, měly by být doplněny o další opatření nebo přenos údajů zastaven. 

Vzhledem k výše uvedenému by měl každý správce či zpracovatel, který  o předání osobních údajů do USA na základě standardních smluvních doložek uvažuje, řešit s dovozcem údajů dopady rozsudku Evropského soudního dvora a navrhovat řešení v podobě dalších bezpečnostních záruk (např. uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek apod.). Nesmí se přitom zapomenout na zásadu transparentnosti a informovat subjekt údajů o konkrétních opatřeních a postupech, komu a do jakých zemí jsou údaje zpřístupňovány/předány, za jakých podmínek, jak jsou jeho údaje chráněny, případně rizika s tím související.

Protože ochranu osobních údajů bereme vážně, nabízíme v týdnu od 1. do 7. února 2021 slevu 15% na služby spojené s GDPR.

I letos platí, že Den ochrany osobních údajů může být stejný jako ostatních 364 letošních dnů, kdy zvítězí naše pohodlnost a nechuť cokoliv měnit.

Ale také to může být den, kdy začneme používat zdravý selský rozum! 

Starosti vyřešíme za vás.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Máte pořádek v souhlasech? Padla rekordní pokuta (GDPR)

V českém rybníčku se téma GDPR zase jednou dostalo nad hladinu. Vodu zčeřila zpráva, že Úřad pro ochranu osobních údajů uložil rekordní pokutu ve výši 6.000.000 Kč  společnosti zabývající se prodejem ojetých automobilů za opakovaná, nevyžádaná rozesílání obchodních sdělení.

Výše uvedená společnost totiž ve své marketingové kampani obeslala 459 779 adresátů prostřednictvím prostředků elektronické komunikace. Úřad se zaměřil na právní důvod, na základě kterého společnost svá obchodní sdělení zasílala. Ta však nebyla schopna prokázat udělené souhlasy.

Nejmenovaná společnost se proti rozhodnutí odvolala, nicméně rozklad byl zamítnut a rozhodnutí bylo v srpnu potvrzeno. Zajímají-li vás podrobnosti, ÚOOÚ prvoinstanční i druhoinstanční rozhodnutí zveřejnil zde . Potrestaná společnost již údajně uloženou pokutu v plné výši uhradila. 

Víte, kdy souhlas potřebujete a kdy ne? A víte, že musíte být připraveni prokázat udělený souhlas? 

Jak to máte vy?

Máte-li databázi kontaktů, do které se vám zákazníci sami svobodně přihlásili a udělili Vám souhlas pro zasílání obchodních či marketingových sdělení, potom můžete tuto databázi dále používat. Je však potřeba pohlídat, zda souhlasům neskončila jejich platnost. Jestli však svobodný souhlas nemáte, skončila jeho platnost nebo je vaše evidence zanedbaná, bude nutné získat souhlasy nové. Avšak jedná-li se o kontakty zákazníků či obchodních partnerů, s kterými aktivně spolupracujete, a účel zaslaného e-mailu se této spolupráce týká, není souhlas nutný, protože se jedná o váš oprávněný zájem. Což je případ tohoto sdělení, které právě čtete. Důležité však je, že ve všech případech musí mít adresát možnost se ze zasílání e-mailů odhlásit.

Je čas na inventuru, jaká data se u vás ve společnosti vyskytují a jak je o ně postaráno. A nejde jen o osobní údaje, ale i o další informace, které každodenně využíváte. Jsou v bezpečí? Kdo k nim má přístup? Jak se zpracovávají? Zajisté se u vás najdou i nějaké prohřešky proti bezpečnosti, nad jejichž nápravou by bylo vhodné se zamyslet… 

Q – COM je připraven vás nenechat ve štychu a pomoci s tím nelehkým úkolem. GDPR je převážně o revizi datových toků a nastavení interních pravidel, procesů a směrnic. My víme, jak na to.

Nastal čas na změnu…

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Coronavirus vs. Ochrana osobních údajů

Je v zájmu lidstva omezit šíření přenosných nemocí. Použití moderních technologií v boji proti pandemii coronaviru, jež postihuje velkou část světa, je nevyhnutelné. Vlády, ale i veřejné a soukromé organizace v celé Evropě přijímají opatření k omezení a zmírnění dopadů coronaviru, což může zahrnovat zpracování různých osobních údajů včetně citlivých. Avšak i v těchto výjimečných časech je potřeba pamatovat na ochranu osobních údajů, byť by se to na první pohled mohlo zdát jakkoliv marginální proti palčivějším a naléhavějším potížím vyžadujícím okamžitá řešení.

Z historie totiž víme, že dříve než nejtěžší okamžiky pominou a lidská solidarita a vzájemný respekt klesnou na své standardní hodnoty, objeví se ziskuchtiví prevíti nebojící se využít těch nejcitlivějších osobních údajů ke svému prospěchu. Lidé jsou si toho vědomi a začínají klást otázky v souvislosti s opatřeními pro zamezení nákazy. K některým z nich se vyjádřil i Evropský sbor pro ochranu osobních údajů  (EDPB European Data Protection Board) ve svém prohlášení z 19. března 2020 .

 

Jak se tedy GDPR dívá na zpracování osobních údajů jako je:

zdravotní stav osob, jež jsou nebo mohou být šiřiteli nákazy;
lokalizace šiřitelů nákazy v čase – trasování;
dohledání dalších osob, s kterými byli šiřitelé ve styku;
zpracování prováděná zaměstnavatelem.

 

Pravidla stanovená obecným nařízením o ochraně osobních údajů GDPR v článku 9 odst. 2 písm. i) pamatuje na specifická zpracování údajů o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami. Konkrétní situace zahrnující zpracování osobních údajů a jejich rozsah, jakož i přijímání vhodných opatření upravuje zákon o ochraně veřejného zdraví.

Příkladem vhodného opatření je informování obyvatel prostřednictvím mobilních telekomunikačních sítí ve spolupráci s operátory těchto sítí (varování a výzvy ve formě SMS zpráv).

Jak ukládá zákon o ochraně veřejného zdraví, příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření.

Mezi orgány ochrany veřejného zdraví se řadí ministerstvo zdravotnictví, krajské hygienické stanice, ministerstva vnitra, obrany, průmyslu a obchodu a další (ministerstvo životního prostředí, ministerstvo dopravy, ministerstvo pro místní rozvoj, krajské úřady).

 

 

V České republice, ale jiných zemích je aktuálně vyhlášen nouzový stav, což je období, kdy je možno mimo jiné na nezbytně nutnou dobu a v nezbytně nutném rozsahu omezit některá práva a svobody občanů. Vláda ČR umožnila svým usnesením č. 250 ze dne 18. března 2020 tzv. trasování polohy osob, u kterých byla prokazatelně potvrzena nákaza COVID-19 ve sledovaném období a na základě jejich informovaného souhlasu.

Jinými slovy orgány ochrany veřejného zdraví mohou požadovat u telekomunikačních operátorů údaje o pohybu osob (na základě jejich souhlasu) dle lokalizace mobilních telefonů za účelem zjištění ohniska nákazy a vyhledání dalších potenciálně nakažených osob. Doba trvání by měla být omezena na dobu trvání nouzového stavu.

Jak upozorňuje EDPB je důležité přijmout odpovídající bezpečnostní opatření a zásady důvěrnosti zajišťující, že osobní data nebudou zpřístupněna neoprávněným osobám. Toho se drželo i Ministerstvo zdravotnictví, když nařídilo Zlínské hygienické stanici stáhnout ze svého webu údaje o počtu nakažených osob dle jednotlivých obcí Zlínského kraje. Mluvčí ministerstva zdravotnictví Gabriela Štěpanyová k tomu uvedla: „Zveřejňovat počty nakažených podle obcí považujeme za nevhodné, protože je zde vysoké riziko stigmatizace nakažených osob a jejich rodinných příslušníků. Ministerstvo zdravotnictví od začátku epidemie klade vysoký důraz na ochranu nakažených a jejich rodin. Považujeme proto za důležité komunikovat informace o pozitivních případech maximálně na úroveň jednotlivých okresů příslušného kraje.“ Více v článku Novinky.cz .

 

Zákoník práce ukládá zaměstnavateli vytvářet bezpečné a zdraví neohrožující pracovní prostředí, přičemž by měl přijímat opatření k předcházení, odstraňování či minimalizaci rizik – tzv. prevenční povinnost.

V době ohrožení je tedy zaměstnavatel povinen přijmout potřebná ochranná opatření a postupovat v souladu s platnými předpisy, mimořádnými opatřeními Vlády ČR a pokyny orgánů ochrany veřejného zdraví. Ministerstvo zdravotnictví připravilo manuál možných opatření bránících šíření onemocnění COVID-19 na pracovištích.

Za účelem vytipování možných šiřitelů zavádí zaměstnavatelé různá opatření a monitorování zaměstnanců jako jsou dotazníky zjišťující pobyt v rizikových zemích, čestná prohlášení či sledování teploty zaměstnanců. Vznikají i databáze rizikových zaměstnanců. Zaměstnavatelé mají právo zjišťovat, zda byl zaměstnanec nebo jeho blízké osoby v rizikové oblasti. Shromažďování informací o zdravotním stavu zaměstnanců je však možné za předpokladu, že budou sloužit výhradně pro účely ochrany zdraví a předcházení dalšímu šíření nákazy s tím, že opatření musí být přiměřená, zavedená na omezenou dobu a zaměstnanci musí být předem informováni.

Povinnost zaměstnanců/návštěv pracovišť podrobit se měření teploty není zatím v žádném českém předpisu stanovena. Osoba, která měření provádí by měla být o správném provedení měření poučena. V současné chvíli nedoporučujeme pořizovat záznamy naměřených teplot. Případné výstupy by měly zaznamenávat pouze rozhodnutí, zda umožnit práci/vstup na pracoviště nebo ne. Pokud ovšem nejste poskytovatel sociálních služeb, pro kterého MPSV vydalo doporučený postup, který způsob a evidenci měření teplot upravuje.

Tato problematika není napříč Evropskou unií řešena jednotně. Ve Francii mají zaměstnavatelé zakázáno shromažďovat zdravotní údaje zaměstnanců či návštěv. V Německu se měření teploty provádí na základě souhlasu zaměstnance. V Itálii mají zaměstnavatelé uloženo sledovat zdravotní stav zaměstnanců po dobu trvání mimořádného stavu, přičemž informace nesmí být sdíleny s třetími stranami vyjma případů stanovených zákonem.

Zákoník práce zaměstnavateli ukládá informovat své zaměstnance o možných rizicích. Takovým rizikem je i skutečnost, že se na pracovišti vyskytuje nebo vyskytovala nakažená osoba. Udaje o této osobě je potřeba poskytnout v minimálním rozsahu, nezbytném k ochraně zdraví ostatních zaměstnanců. Jak uvádí Úřad pro ochranu osobních údajů , nesmí být  dotčena důstojnost a integrita této osoby. Rozhodně by tedy zaměstnavatel neměl zaměstnancům sdělovat jména nakažených osob či osob v karanténě.

Nakazit se může i přes všechna opatření kdokoliv z nás. Nechceme přece být lynčováni a zveřejňováni s nálepkou „koroňák“! Nečiňme to tedy ani jiným. Mysleme na to, že nemocní a lidé v karanténě mají stejné právo na soukromí jako my.

Starosti vyřešíme za vás. 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Den ochrany osobních údajů 28. ledna 2020

Po roce si opět připomínáme den ochrany osobních údajů. Dnes, jakož i zítra a kdykoliv jindy bychom měli mít na mysli, že budeme-li své osobní údaje dávat lacino, v budoucnu se nám to nevyplatí.

DEN OCHRANY OSOBNÍCH ÚDAJŮ

28. ledna 2020

Za kolik byste prodali kompletní přehled míst s daty, časy a délkou pobytu, která jste v průběhu jednoho měsíce navštívili? Z takového souboru dat se dá spolehlivě vyčíst kde bydlíte, kde pracujete, v kolik hodin odcházíte do práce, kdy a kde vyzvedáváte děti, jak dlouho a kdy bývá vaše obydlí opuštěné nebo třeba kde jste strávili noc.

A co adresář kontaktů v telefonu? Také si u jednotlivých jmen vedete přehled telefonních čísel, adresu domů a do práce, email či narozeniny? Na kolik si ceníte osobních údajů vám blízkých osob?

Většina z nás by tato data vědomě neprodala. A přesto tak činíme dnes a denně a co hůř, zadarmo! Respektive za trochu pohodlí nebo zábavy. Myslíte, že přeháníme?

Jste aktivní na sociálních sítích? Ukládáte kontakty do nějaké praktické cloudové aplikace, abyste je měli kdykoliv k dispozici na více zařízeních? Máte chytrý telefon, chytré hodinky, zapnuté GPS určování polohy, protože často někam cestujete? A máte množství aplikací v telefonu, které vyžadují přístup k údajům o poloze, ke kontaktům, k uloženým fotografiím či souborům, aniž by to pro svou primární funkci potřebovaly?

K čemu potřebuje aplikace svítilny přístup k údajům o poloze zařízení? Proč obyčejná hra vyžaduje povolení přístupu ke kontaktům? Jakou ochranu svěřených údajů vám asi nabízí služba, která je zdarma? (Ať už se jedná o cloudovou službu nebo aplikaci k chytrým hodinkám nejmenovaného čínského výrobce či sociální síť.) Čtete licenční ujednání před nainstalováním nové aplikace? Kdo by to dělal, že! Ale potom se nedivme, že máme aplikaci, prostřednictvím které provozovatel legálně stahuje data z našeho zařízení, která prodává třetím stranám…třeba zrovna ta polohová.

Přečtěte si, jak se v Americe čile obchoduje s legálně získaným souborem dat, jež tvoří údaje o geografické poloze dvanácti milionů Američanů – uživatelů mobilních telefonů.

Začátkem ledna 2020 vstoupil v platnost kalifornský zákon ochrany soukromí zákazníků CCPA (California Consumer Privacy Act), což je obdoba evropského GDPR. Kdo v Kalifornii zpracovává osobní údaje od více než 50 tisíc zákazníků, musí se jím řídit. Microsoft se nechal slyšet, že bude CCPA dodržovat pro všechny obyvatele USA, Mozilla dokonce celosvětově.

Zajímavá zpráva z oblasti ochrany osobních údajů pochází od Evropského sboru pro ochranu osobních údajů (EDPB), který ve svém registru pro rozhodnutí orgánů dohledu zveřejnil návrh standardních smluvních doložek (zpracovatelská smlouva) dánského úřadu pro ochranu osobních údajů. Stanovisko Sboru k původnímu dokumentu je dostupné v českém jazyce. Aktualizovaný vzor zpracovatelské smlouvy je k dispozici v anglickém jazyce. Tento pokus o standardizaci hodnotíme velmi pozitivně.

Český Úřad pro ochranu osobních údajů rovněž nezahálel a připravil dokument týkající se povinnosti správců provádět posouzení vlivu na ochranu osobních údajů (DPIA) s názvem „Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů“.

Ani Q – COM nespí, neustále přemýšlíme, jak naše služby vylepšit. Na našich webových stránkách jsme zveřejnili přehled užitečných nástrojů, jež s ochranou osobních údajů a dalšími trápeními, umí rovněž pomoci. Naleznete tam mimo jiné vzor žádosti o poskytnutí informace o zpracování osobních údajů či žádost o výmaz osobních údajů.

CCPA stejně jako GDPR, dokumenty Sboru nebo národních dozorových orgánu jsou však jen nástroje pro ochranu osobních údajů. Hlavní břímě leží na nás!

Protože ochranu osobních údajů bereme vážně, v týdnu od 27. ledna do 2. února 2020 nabízíme slevu 15% na služby spojené s GDPR.

Den ochrany osobních údajů může být stejný jako ostatních 365 letošních dnů, kdy zvítězí naše pohodlnost, touha po zábavě a nechuť cokoliv měnit.

Ale také to může být den, kdy začneme používat zdravý selský rozum! 

Nastal čas na změnu… 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Neváhejte nás kdykoliv kontaktovat

Zaměstnavatele z GDPR hlava bolet nemusí

Dle vyjádření Evropské komise podniky údajně rozvíjejí kulturu dodržování předpisů v oblasti ochrany osobních údajů a občané jsou si čím dál více vědomi svých práv. Většina členských států zavedla podpůrný právní rámec pro ochranu osobních údajů. V České republice jím je zákon č. 110/2019 Sb., o zpracování osobních údajů. Přehled zásadních změn a výjimek jsme přehledně shrnuli na našich webových stránkách . Mohlo by se zdát, že vše funguje…

Nicméně protože opakování je matka moudrosti a názory ÚOOÚ se vyvíjí (ostatně i naše), podíváme se na GDPR z pohledu zaměstnavatele, protože personální agenda představuje v mnoha organizacích nejrozsáhlejší oblast zpracování osobních údajů.

Nač si tedy má dát zaměstnavatel pozor, aby ho z GDPR nebolela hlava?

 

Pro účel zpracování osobních údajů v rámci personální agendy není žádoucí vyžadovat po zaměstnanci podepsání souhlasu.

Projděte si vzory pracovních smluv, dotazníky/formuláře, zda v nich není souhlas se zpracováním osobních údajů zapracován nebo zda nějaký souhlas se zpracováním osobních údajů po zaměstnancích nepožadujete.

Provádíte-li zpracování osobních údajů, protože vám to ukládá zákon, smluvní vztah nebo se jedná o váš oprávněný zájem (pozor aby jste byli v souladu s oprávněným zájmem zaměstnance), souhlas nepotřebujete. Naproti tomu zasíláte-li zaměstnancům elektronickou výplatní pásku na soukromý e-mail, evidujete soukromá telefonní čísla pracovníků pro urychlené obsazení směny nebo používáte fotografie zaměstnanců pro marketingové účely či jsou obsaženy ve firemním adresáři nebo vnitropodnikové aplikaci, potom se bez souhlasu neobejdete.

Jaké náležitosti by měl souhlas obsahovat, se dovíte zde . Nebo můžete mrknout na náš souhlas se zpracováním osobních údajů za účelem zasílání obchodních sdělení .

 

Jedno z nejčastěji vytýkaných porušení GDPR je nedostatečné informování zaměstnanců o tom, jak jsou jejich osobní údaje zpracovávány.

Zaměstnancům musí být prokazatelným způsobem předány informace o správci jejich osobních údajů, účelu zpracování, právním základu pro zpracování, komu jsou osobní údaje předávány a v jakém rozsahu, o době, po kterou budou osobní údaje zpracovávány. V neposlední řadě je potřeba zmínit i práva, která subjekt údajů/zaměstnanec v oblasti ochrany osobních údajů má. O těch jsme psali zde .

Mimochodem dle GDPR musíte vhodným způsobem informovat všechny subjekty údajů, jejichž osobní údaje zpracováváte tedy rovněž: zákazníky, obchodní partnery, návštěvníky vašich webových stránek, účastníky marketingových kampaní atd. Rozsah informací je stanoven článkem 13 GDPR .

 

Monitorujete-li služební vozidla pomocí GPS, a to v rozsahu potřebném pro ochranu a správu majetku, pak je to oprávněný zájem zaměstnavatele.

Pokud umožňujete zaměstnanci využívat vozidlo i pro soukromé účely, je potřeba vzájemná práva a povinnosti upravit dohodou o použití vozidla. Je nezbytné zaměstnance na použití GPS sledování upozornit, a to prokazatelným způsobem. Zaměstnavatel je i nadále oprávněn zpracovávat osobní údaje pro stanovený účel jímž je ochrana a správa majetku, evidence jízd, prokázání bezpečnostních přestávek atd., ale nesmí docházet k intenzivní či stálé kontrole zaměstnanců, která by narušovala jejich soukromí.

Jako u všech zpracování i zde platí, že data lze zpracovávat pouze po dobu odpovídající účelu, a to i přesto, že spousta provozovatelů systémů tuto povinnost nereflektuje. Údaje o soukromých jízdách je nezbytné považovat za důvěrné a ideálně nepřístupné. Nezapomínejme, že odpovědnost za zpracování má vždy správce osobních údajů.

 

Dle zákoníku práce zaměstnanci nesmí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování tohoto zákazu je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat – například sledovat množství a velikost odeslané a přijaté pošty zaměstnancem nebo domény navštívených internetových stránek. Sledování nesmí být systematické a založené na ruční kontrole údajů a dat.

V případě zavedení sledovacích nástrojů je však zaměstnavatel povinen o tom zaměstnance informovat.

 

Zaměstnavatel je oprávněn vyžadovat od uchazeče o zaměstnání informace o trestněprávní bezúhonnosti, jestliže to ukládá právní předpis pro výkon určité pracovní pozice (policisté, hasiči, zdravotní sestry, učitelé, advokáti atd.) či je pro to dán dle zákoníku práce věcný důvod spočívající v povaze práce, jež má být vykonávána a je-li tento požadavek přiměřený.

Plošné vyžadování doložení bezúhonnosti u všech typů prací není v souladu s GDPR ani s pracovněprávními předpisy.

Co se uchovávání Rejstříku trestů týče, dle názoru ÚOOÚ je možné po účelem zpracování odůvodněnou dobu výpis či na základě výpisu učiněné poznámky uchovávat. Avšak my dodáváme, že již jeden den po vystavení výpisu je tento dokument zastaralý a údaje v něm uvedené nemusí odpovídat aktuálnímu stavu. Tudíž je na zvážení, zda existuje relevantní důvod pro jeho uchovávání.

 

V České republice jsou stále více využívány technologie založené na identifikaci osoby prostřednictvím biometrického údaje (obvykle otisku prstu). GDPR však biometrické údaje považuje za zvláštní kategorii osobních údajů, čili citlivý údaj, kde jsou nastavena přísnější pravidla pro zpracování.

Je-li účelem zpracování kontrola vstupu, přítomnosti a přístupů zaměstnanců s ohledem na zabezpečení provozu proti přístupu neoprávněné osoby, jedná se o oprávněný zájem zaměstnavatele a není potřeba vyžadovat po zaměstnancích souhlas.

To ovšem není případ evidence docházky s využitím této technologie. Tam už bude potřeba souhlas získat, a protože  ten musí být dán dobrovolně, měl by zaměstnavatel zajistit i jiný způsob evidence docházky, kde k použití biometrického údaje nedochází.

 

Poskytování benefitů zaměstnavatelem často souvisí s předáním osobních údajů zaměstnance třetí straně, tedy jinému příjemci, jež benefit zajišťuje. Ale ani toho se není potřeba bát, neboť zpracování osobních údajů pro tento účel vychází z dohody o poskytnutí benefitu.

Právním účelem je tedy plnění smlouvy, a to i v případě, že se k poskytnutí benefitu zaměstnavatel zavázal v kolektivní smlouvě nebo právo na benefit stanovil vnitřním předpisem.

Opět ale nesmíme zapomínat na výše uvedený čl. 13 GDPR a zaměstnance informovat o předání osobních údajů poskytovateli benefitu a též i o rozsahu předaných údajů.

 

Je potřeba nezapomínat na práva subjektů údajů. Jedním z nich je i přístup k informacím, a to i v případě bývalých zaměstnanců. Vzhledem k tomu, že i po skončení pracovního poměru jsou osobní údaje dále zpracovávány, může se stát, že subjekt údajů svého práva využije, a to třeba i včetně práva na poskytnutí kopie zpracovávaných osobních údajů.

Doporučujeme po skončení pracovního poměru zaměstnance uchovávat v organizaci/informačních systémech jeho osobní údaje pouze v nezbytném rozsahu.

A když jsme u přístupu k osobním údajům, je potřeba zajistit i jejich zabezpečení. Neponechávat fyzickou dokumentaci volně přístupnou, stejně tak i elektronickou databázi, a mít přehled o oprávněných osobách, jež mohou osobní údaje zpracovávat. Zpracováním je myšleno vše, co lze s osobními údaji dělat, tedy i nahlížet, kopírovat, likvidovat, předávat atd. U předávání osobních údajů dejme pozor, v jakém rozsahu a komu osobní údaje předáváme. Například údaj o členství v odborové organizaci patří mezi zvláštní kategorie osobních údajů/citlivé, a jeho zpracování podléhá přísnějším pravidlům.

 

Poslední myšlenka, kterou je vhodné zmínit, je povinnost realizace pravidelných školení ochrany osobních údajů pro všechny zaměstnance, kteří s osobními údaji přichází do styku.

O tom, že byli pracovníci proškoleni, je potřeba mít vyhotoven záznam.


Společnost Q – COM se dlouhodobě zabývá systémy řízení.
Ochrana osobních údajů do celého schématu zapadá, jelikož se jedná pouze o jiný pohled na problematiku bezpečnosti. Našim klientům zdůrazňujeme, že GDPR není primárně otázkou investic do technologií či záležitost IT oddělení. Klíčové je především vhodné nastavení procesů, nezbytné používání zdravého selského rozumu a nejdůležitější  pravidelné vzdělávání pracovníků.

 

Rozsah naší podpory závisí na konkrétních požadavcích zákazníka. Jsme schopni realizovat dílčí projekty v minimalistickém rozsahu i komplexní zavedení nejmodernějších postupů vedoucích k zajištění velmi vysoké úrovně ochrany osobních údajů, ale i informací a dalších aktiv zákazníka.

Cítíte, že GDPR je Vaše slabina a nevíte, jak na to? 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

Novinky z Úřadu pro ochranu osobních údajů

 

V případě porušení zabezpečení osobních údajů je správce povinen bez zbytečného odkladu tuto skutečnost ohlásit Úřadu, a to do 72 hodin od okamžiku zjištění. Pokud není lhůta dodržena, musí být současně s ohlášením uveden důvod zpoždění. Ohlášení je možno zaslat do datové schránky qkbaa2n nebo na adresu elektronické pošty posta@uoou.cz či fyzicky poštou na adresu Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00  Praha 7.

Zpracovatel je povinen zaslat ohlášení správci na dohodnuté kontaktní údaje správce.

Úřad pro ochranu osobních údajů zveřejnil formulář, který je možno pro ohlášení porušení zabezpečení osobních údajů použít. Ke stažení zde .

 

Obecné nařízení o ochraně osobních údajů upravuje oblast vydávání osvědčení o ochraně osobních údajů. V rámci českého překladu byla použita poněkud odlišná terminologie. Osvědčením se myslí certifikát o ochraně osobních údajů, tedy dokument vydaný certifikačním orgánem, kterým subjekt (správce, zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky obecného nařízení.

Nebude povinností žádat o vydání certifikátu, ale jeho existence může zjednodušit předávání osobních údajů do zahraničí, kdy se dovozce údajů (zpracovávající osobní údaje v zemi s nedostatečnou úrovní ochrany osobních údajů) prokáže platným osvědčením. Rovněž je možno očekávat usnadnění  nákupu produktů nebo služeb, pokud se prodejce/výrobce/poskytovatel prokáže osvědčením, které dokládá, že produkt nebo služba je v souladu s Obecným nařízením.

Subjekty pro vydávání osvědčení bude akreditovat Český institut pro akreditaci, o.p.s., vnitrostátní akreditační orgán České republiky, postupem upraveným v zákoně č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů. Tato povinnost mu byla uložena §15 zákona č.110/2019 Sb., o zpracování osobních údajů.

Úřad pro ochranu osobních údajů připravil požadavky pro vydávání osvědčení (zahrnují požadavky na akreditaci orgánů vydávajících osvědčení a kritéria pro vydávání osvědčení), nyní se čeká na posouzení ze strany Evropského sboru pro ochranu osobních údajů. 

V současné době tedy nelze žádat o akreditaci, tudíž ani o vydání osvědčení (certifikátu) k produktu, službě nebo zpracování. 

 

Cítíte, že GDPR je Vaše slabina a nevíte, jak na to? 

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

 

Neváhejte nás kdykoliv kontaktovat

ÚOOÚ udělil první pokuty – nač se chystá dál

Nejaktuálnější zprávou z Úřadu pro ochranu osobních údajů je postup ve věci zpracování osobních údajů v systému Centrálního registru dlužníků České republiky (CERD).

Registr se tváří jako oficiální databáze, avšak provozovatel má sídlo v USA, nemá relevantní data ani partnery. Čerpá z veřejně dostupných databází a případně získává údaje od lidí a firem, kteří se v něm zaregistrovali. Například finanční instituce výpis pořízený z tohoto registru neuznávají, protože provozují vlastní systémy (Bankovní registr klientských informací, Nebankovní registr klientských informací či SOLUS).

Úřad v loňském roce ukončil kontrolu systému CERD a následně zahájil řízení o přijetí nápravných opatření. Správce systému však uložená opatření neprovedl. Úřad se tedy obrátil na poskytovatele služeb pro systém CERD a podařilo se mu vymoct znepřístupnění webové stránky CERD. Správce systému si však zajistil nového poskytovatele služeb, jímž se stala indická společnost, která IP adresy pro systém CERD hostuje na území Ruské federativní republiky. Protiprávní obsah tak dál figuruje na internetu a Úřad přišel o možnost ovlivnit jeho stažení nebo znepřístupnění. Nyní Úřad zahájil řízení o sankci za nepřijetí opatření k nápravě.

Zdroj: www.uoou.cz

Je tomu více než rok, od účinnosti GDPR. Zatímco rok před zavedením nasbíral Úřad pro ochranu osobních údajů 2385 podnětů, za rok od účinnosti jich přišlo 3851. Dle sdělení Úřadu se stížnosti nejčastěji týkají získávání souhlasu, nerespektování práv subjektů údajů, nevyžádaných obchodních sdělení, telemarketingu, zveřejňování osobních údajů na internetu a kamerových systémů. Úřad eviduje 38 ukončených kontrol, mezi nimiž bylo v 16 případech zjištěno porušení zákona o ochraně osobních údajů.

Zdroj: www.uoou.cz

Úřad pro ochranu osobních údajů udělil již 9 pokut. Na základě zákona o svobodném přístupu k informacím zveřejnil pravomocná rozhodnutí/příkazy, z kterých lze odvodit, že postup úřadu je vskutku mírný a pokuty nejsou likvidační, ostatně jak bylo dříve proklamováno.

Správci osobních údajů byli v některých případech nejprve vyzváni k nápravě a až po jejich nečinnosti přistoupil Úřad k udělení pokuty. Jednalo se o případy neoprávněného zveřejnění osobních údajů, nesplnění informační povinnosti a o pozdní reakci na žádost o opravu osobních údajů. Dále z jednotlivých příkazů vyplývá, že se nevyplácí záměrně zkreslovat skutečnosti, a že správce osobních údajů může dostat pokutu, i když k žádnému bezpečnostnímu incidentu nedošlo.

Chcete-li se dozvědět, zač byly pokuty uděleny, v jaké výši a jaký byl postup Úřadu, navštivte naše webové stránky, kde je všech devět případů shrnuto. Více zde.

Zdroj: www.uoou.cz

Úřad pro ochranu osobních údajů zveřejnil kontrolní plán na rok 2019. Tedy možné typy zpracování osobních údajů, na které se bude především zaměřovat:

plnění povinností při zpracování osobních údajů, včetně zvláštních kategorií údajů – otisků prstů při provozování hazardních her,
zpracování osobních údajů (odebraných vzorků) zdravotnickým zařízením,
zpracování osobních údajů při používání cookies,
zpracování osobních údajů v aplikacích resp. informačních systémech využívaných zdravotnickými zařízeními,
zabezpečení osobních údajů u zpracovatele osobních údajů,
zpracování osobních údajů společností vyvíjející a provozující mobilní aplikace,
zpracování osobních údajů v souvislosti s kontrolami jízdních dokladů, navazujícím zpracování osobních údajů a v souvislosti s nákupem časových jízdenek,
zpracování osobních údajů žadatelů o uzavření smlouvy o úvěr při jejím sjednávání online,
zpracování související s rozvojem digitalizace služeb, které občanům poskytují orgány veřejné správy,
zpracování osobních údajů prováděného buď přímo politickými subjekty, nebo za ně, a to se zaměřením jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo ni,
zpracování genetických údajů jako zvláštních kategorií údajů u společnosti specializující se na testování DNA.

 

Zdroj: www.uoou.cz

Pro naše zákazníky je z výčtu kontrolního plánu nejvíce riziková oblast zpracovatelů, jež pro ně osobní údaje nějakým způsobem zpracovávají. Typicky se jedná o externí dodavatele služeb (např. účetní, personalistka, správce IT, SW služby atd.)

Víte jak a zda vůbec váš zpracovatel zabezpečil osobní údaje, které mu předáváte? Víte, že za zabezpečení osobních údajů odpovídáte vy jako správce? Máte ve zpracovatelské smlouvě podchycenu oblast ochrany osobních údajů v souladu s GDPR? V České republice už máme případ správce osobních údajů, který si „neohlídal“ svého zpracovatele a byl za nedostatečné zabezpečení osobních údajů pokutován.

Představují-li pro Vás zpracovatelé noční můru a nejste si jisti, zda máte osobní údaje dostatečně zabezpečeny, obraťte se na nás. Provedeme analýzu aktuálního stavu a navrhneme vhodná řešení nebo pomůžeme s jejich implementací.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Neváhejte nás kdykoliv kontaktovat

Přehled pokut udělených ÚOOÚ

Pročetli jsme všech devět zveřejněných rozhodnutí a příkazů Úřadu pro ochranu osobních údajů. Níže naleznete přehled čeho se pokuty týkaly a jaký byl v kostce postup Úřadu.

Zdroj: www.uoou.cz

 

Případ 1
Porušení Správce osobních údajů (škola) od roku 2017 do současnosti zveřejňuje prostřednictvím sociální sítě Facebook na svém profilu osobní údaje bývalé zaměstnankyně v rozsahu jméno, příjmení, titul a fotografie a to i přes opakovanou výzvu k jejich odstranění.
Pokuta 10.000 Kč
Důvod zahájení řízení Podnět na ÚOOÚ zaslala bývalá zaměstnankyně e-mailem poté, co 2x e-mailem požádala správce osobních údajů o odstranění svých osobních údajů z facebookových stránek.
Průběh řízení Úřad zaslal správci osobních údajů upozornění na porušení povinností při zpracování osobních údajů s poučením o neoprávněnosti zveřejní a příkazem na odstranění uvedených osobních údajů. Správce však nijak nereagoval. Následně byla správci zaslána datovou schránkou výzva k neprodlené nápravě protiprávního stavu. Opět bez reakce. Následoval telefonát s upozorněním, že byla zaslána datová zpráva, která nebyla vyzvednuta. K odstranění osobních údajů z facebookového profilu ani poté nedošlo.
Případ 2
Porušení Správce osobních údajů klientů (autopůjčovna) neposkytl informaci o zpracování osobních údajů prostřednictvím GPS lokátorů, které byly umístěny v motorových vozidlech, jež pronajímal. Dále nebyly poskytnuty informace o správci osobních údajů, o účelech zpracování, době uložení osobních údajů, o dalších příjemcích a právním základu pro zpracování atd.
Pokuta 30.000 Kč
Důvod zahájení řízení Podnět na ÚOOÚ zaslal klient autopůjčovny poté, co upozorňoval na nedostatky na autě a zaměstnanec autopůjčovny mu následně udělil smluvní pokutu za překročení povolené rychlosti, přičemž při pronájmu vozidla nebyla nikde uvedena informace, že je vozidlo sledováno pomocí GPS.
Průběh řízení Byla provedena kontrola na místě na jejímž základě Úřad uvedl, že správce osobních údajů nesplnil informační povinnost stanovenou GDPR, neboť o zpracování údajů získaných prostřednictvím GPS lokátorů neinformoval zákazníky vůbec a ve vztahu k ostatním zpracováním (tj. zejména zpracování za účelem splnění smlouvy) informoval zcela nedostatečně.
Případ 3
Porušení Správce osobních údajů osob zaregistrovaných na internetové adrese (provozovatel online hry) neuzavřel se zpracovatelem osobních údajů smlouvu o zpracování osobních údajů dle GDPR. Dále správce osobních údajů nezajistil osobní údaje hráčů (hráčské jméno, heslo, ID herního účtu, e-mailová adresa, IP adresa) provozované online hry, v důsledku čehož došlo ke zveřejnění těchto údajů na internetu po dobu cca 30 minut.
Pokuta 15.000 Kč
Důvod zahájení řízení Správce – provozovatel online hry zaslal Úřadu pro ochranu osobních údajů ohlášení porušení zabezpečení osobních údajů s tím, že následky úniku databáze jsou dost možná nulové. Dále správce uvedl, že se jednalo o zneužití ze strany programátora, který údajně data stáhl a poslal konkurenci s tím, že zveřejnění na internetu provedl neznámý pachatel. Správce údajně již podnikl kroky vedoucí k tomu, že se nic podobného nebude opakovat. Úřad dále obdržel podnět od fyzické osoby (provozovatele obdobné hry), která uvedla, že zveřejněnou databázi viděla, upozornila provozovatele, a že už údaje nejsou nikde k dispozici.
Průběh řízení V průběhu řízení bylo zjištěno, že do zpracování osobních údajů byl zapojen další zpracovatel, který data zálohoval na své soukromé cloudové úložiště, čímž došlo k řetězení zpracovatelů, avšak příslušné zpracovatelské smlouvy nebyly uzavřeny. Vše se dělo s plným vědomím správce osobních údajů. Dále měla být uzavřena zpracovatelská smlouva s programátorem v souladu s GDPR. Byla uzavřena pouze smlouva o dílo, která postrádala ustanovení, jež by bylo možno považovat za zpracovatelskou smlouvu.
Neznámý pachatel zveřejnil data, jež získal ze zmíněného soukromého cloudového úložiště zpracovatele.
Správce osobních údajů nepřijal taková opatření, aby nemohlo dojít k nahodilému či neoprávněnému přístupu k jím zpracovávaným osobním údajům.
Případ 4
Porušení Správce osobních údajů klientů (zprostředkovatel spotřebitelského úvěru) nezajistil osobní údaje cca 300 klientů v rozsahu jméno, příjmení, rodné číslo, číslo OP, adresa bydliště, telefonní číslo a informace o úvěru. Kopie smluv o spotřebitelském úvěru byly volně uloženy v papírové krabici v prostorách společných garáží bytového domu po dobu minimálně 14 dnů a následně nalezeny v kontejneru.
Pokuta 30.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč
Důvod zahájení řízení Správce osobních údajů zaslal Úřadu pro ochranu osobních údajů ohlášení porušení zabezpečení osobních údajů přibližně 80 klientů. ÚOOÚ obdržel také popis skutečností zjištěných Policí České republiky.
Průběh řízení Správce osobních údajů nedostatečně vyhodnotil rizika pro práva a svobody svých klientů, a ani nepřijal odpovídající bezpečnostní opatření k jejich ochraně, když ponechal krabici s dokumenty volně uloženou v prostorách společných garáží bytového domu, kde k nim měl přístup kdokoli z obyvatel domu. Následně byla krabice nalezena v kontejneru, kam ji odnesla neznámá osoba. Při stanovení sankce bylo přihlédnuto i k přitěžující okolnosti, že správce uvedl zavádějící informaci týkající se počtu odcizených dokumentů s osobními údaji. Ohlásil totiž ztrátu přibližně 80 smluv, ale ve skutečnosti krabice obsahovala smluvní dokumentaci více jak 300 klientů.
Případ 5
Porušení Správce osobních údajů stěžovatelky neposkytl i přes její žádost žádné informace o zpracování jejích osobních údajů.
Pokuta 10.000 Kč
Důvod zahájení řízení Stěžovatelka zaslala Úřadu pro ochranu osobních údajů podnět, že správce osobních údajů nevymazal na její žádost její osobní údaje ze svých webových stránek a dále jí i přes její žádost neposkytl informace o zpracování jejích osobních údajů.
Průběh řízení Správci osobních údajů byla správním orgánem zaslána výzva k nápravě, tedy odstranění informací z webových stránek a poskytnutí stěžovatelce informace týkající se zpracování jejích osobních údajů. Osobní údaje byly z webových stránek odstraněny, avšak stěžovatelka žádné informace neobdržela. Následně byla správci osobních údajů odeslána výzva ke sdělení, jaké informace o zpracování osobních údajů byly stěžovatelce poskytnuty a k doložení tohoto sdělení. Správce však nereagoval.
Případ 6
Porušení Správce osobních údajů stěžovatelů neposkytl i přes jejich žádost žádné informace o zpracování jejich osobních údajů.
Pokuta 20.000 Kč
Důvod zahájení řízení Stěžovatel 1 podal podnět Úřadu pro ochranu osobních údajů, jelikož byl správcem kontaktováni v rámci monitorovaného hovoru avšak na jeho opakovanou žádost neobdržel informace o zpracování svých osobních údajů (konkrétně o tom, kde byl získán telefonický kontakt). Stěžovatel 2 byl kontaktováni i poté, co zaslal správci žádost k výmazu osobních údajů.
Průběh řízení Správci byla zaslána výzva k neprodlené nápravě protiprávního stavu a to tím, že poskytne stěžovatelům požadované informace, což se nestalo.
Případ 7
Porušení Zřizovatel odštěpného závodu, jakožto správce osobních údajů klientů, zpracovával při uzavírání smluv s klienty týkajících se poskytování úvěru v elektronické podobě za účelem uzavření a uchování smluvní dokumentace a zjednodušení tohoto procesu též biometrický podpis klientů, který nebyl nezbytný pro uzavření příslušné smlouvy ani pro její plnění. Dále uchovával veškeré záznamy telefonních hovorů s klienty, kteří s ním měli uzavřenou rámcovou smlouvu o poskytování bankovních produktů a služeb nebo smlouvu o úvěru, a to po celou dobu trvání smlouvy a dále po dobu dalších 10 let od splnění veškerých závazků klienta.
Pokuta 250.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč
Důvod zahájení řízení Podkladem pro zahájení řízení je protokol o provedené kontrole odštěpného závodu podle zákona o kontrole a zákona o ochraně osobních údajů na základě kontrolního plánu Úřadu pro rok 2018. Kontrolovaným účastníkem byl odštěpný závod zahraniční banky, který jako takový nemá právní osobnost, proto je účastníkem řízení společnost, která je zřizovatelem tohoto odštěpného závodu (resp. společnost, která prostřednictvím něj podniká na území České republiky).
Průběh řízení Správce osobních údajů nedodržel základní zásadu minimalizace údajů, když shromažďoval a následně uchovával biometrické podpisy svých klientů a dále uchovával zvukové záznamy veškerých telefonních hovorů s klienty po dobu delší, než je nezbytné pro účely, pro které jsou zpracovávány, přičemž správce žádným způsobem nerozlišoval, zda během hovoru s klientem došlo k uskutečnění obchodu či se jednalo pouze o hovor informativního charakteru/poradenství. (Doklady o uskutečněných obchodech jsou banky a pobočky zahraničních bank povinny uschovávat po dobu nejméně 10 let.)
Případ 8
Porušení Správce osobních údajů (poskytovatel bankovních služeb) použil osobní údaje subjektu údajů, která byla vedena jako statutární orgán klienta tohoto správce, k založení běžného účtu na jeho jméno, a to bez jeho vědomí. Osobní údaje byly protiprávně zpracovávány až do doby, kdy byl účet zrušen. Správce porušil zásadu zákonnosti, korektnosti a transparentnosti, použil osobní údaje pro nelegitimní účely a ve vztahu k založení a vedení běžného účtu nezajistil dostatečnou kontrolu dodržování vnitřních předpisů upravujících zabezpečení osobních údajů.
Pokuta 80.000 Kč
Důvod zahájení řízení Podkladem pro vydání příkazu je protokol o kontrole podle zákona o kontrole a GDPR.
Průběh řízení Zpracování osobních údajů za účelem založení běžného účtu nelze považovat za korektní ani zákonné, neboť subjekt údajů neuzavřel se správcem osobních údajů smlouvu o zřízení běžného účtu ani o jeho založení nevěděl. Správce osobní údaje zpracovával pro jiný účel, než k jakému byly použity, čímž porušil zásadu účelového omezení. Dále u správce chybí kontrola dodržování interních předpisů, tedy nebylo zajištěno dodržování zavedených technických a organizačních opatření vzhledem k tomu, že správce na existenci vedeného účtu přišel až na základě stížnosti subjektu údajů.
Závažnost jednání je zvýšena skutečností, že protiprávní jednání trvalo delší dobu (cca 1 rok a 5 měsíců), a že obviněný je bankou, tedy profesionálem v oboru, kde dochází k rozsáhlému zpracování osobních údajů.
Případ 9
Porušení Správce osobních údajů (obecně prospěšná společnost) neposkytl svému zaměstnanci i přes jeho e-mailovou žádost žádné informace o zpracování jeho osobních údajů.
Pokuta 5.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč
Důvod zahájení řízení Podkladem pro zahájení řízení byly podněty stěžovatele doručené Úřadu. Stěžovatel od svého zaměstnavatele obdržel potvrzení o zdanitelných příjmech ze závislé činnosti plynoucích na základě dohod o provedení práce, v nichž bylo vyplněno chybné rodné číslo, nebyla vyplněna adresa bydliště a byly uvedeny další nepřesnosti. Stěžovatel žádal o opravu nepřesných a chybných údajů, jeho žádosti však nebylo vyhověno do termínu odevzdání daňového přiznání finančnímu úřadu.
Průběh řízení Úřad zaslal správci osobních údajů výzvu k uvedení operací do souladu s GDPR s tím, že pokud subjekt údajů uplatní své právo na opravu osobních údajů, pak je správce povinen opravit jeho osobní údaje bez zbytečného odkladu. Následně stěžovatel zaslal zaměstnavateli žádost o opravu svých osobních údajů a o vystavení opravených potvrzení, což se nestalo. Správní orgán tedy zaslal správci osobních údajů výzvu k neprodlené nápravě protiprávního stavu s tím, že správce měl správní orgán neprodleně informovat o provedené nápravě a tuto skutečnost doložit. Reakce se dostavila až po stanoveném termínu.