Přinášíme vám další přehled závěrů z kontrol ÚOOÚ za druhé pololetí roku 2022. Na co se tentokrát Úřad zaměřil? Nezapomeňte porušení zabezpečení osobních údajů nahlásit ÚOOÚ. Oznámit incident policii totiž nestačí! A s jakou argumentací před Úřadem rozhodně neobstojíte?
Závěry z kontrol Úřadu pro ochranu osobních údajů za druhé pololetí roku 2022 sice nejsou příliš obsáhlé co do počtu kontrol, z pohledu předmětů a závěrů jednotlivých kontrol však rozhodně stojí za pozornost. Některé z nich jsou velmi zajímavé – zejména z pohledu úspěšnosti argumentace kontrolovaných osob, ale i co se týče hloubky, do které ÚOOÚ v rámci kontrol zacházel.
Zpracování katastrálních dat
V druhém pololetí minulého roku se ÚOOÚ zabýval uzavřením poměrně zajímavého případu (UOOU-2744/21), na kterém spolupracoval s Českým úřadem zeměměřickým a katastrálním (ČÚZK). Případ se týkal kontrolované osoby, která poskytovala službu, jež byla založena na zpracování osobních údajů z katastru. Kontrolovaná osoba (dle slov ÚOOÚ) však kategoricky odmítla, že by vůbec byla v pozici správce osobních údajů. Nadto kontrolovaná osoba uvedla, že ke konci roku 2021 smazala veškerý software a osobní údaje, jež byly předmětem samotné kontroly.
Předmětná tvrzení si ÚOOÚ ověřil tak, že provedl export od poskytovatele IT služeb kontrolované osoby, z nějž zjistil, že v daném setu exportovaných dat bylo nalezeno celkem 427 300 rodných čísel, jež pocházela právě z katastru. Takové důkazy jasně vyvrací argumentaci, že kontrolovaná osoba nebyla správcem osobních údajů. Kontrolovaná osoba se tak dle ÚOOÚ provinila několika prohřešky, včetně porušení povinnosti poskytnout informace (kontrolovaná osoba nedoložila, jak subjekty údajů informovala), dále porušení zásady odpovědnosti ve smyslu čl. 24 GDPR, „privacy by design“ či předložení záznamů o činnostech zpracování. Kontrolovaná osoba byla pasivní, a tak ÚOOÚ po uplynutí lhůty pro podání námitek zahájil správní řízení, o jehož závěrech nás již neinformuje.
Jedná se o první případ v rámci rozhodovací praxe, kdy ÚOOÚ informoval o jednání kontrolované osoby, jež argumentovala tím, že žádná data ani software již nemá. ÚOOÚ k tomu proto doplnil následující: „Článek 5 odst. 2 GDPR zakotvuje nejen odpovědnost správce za dodržování povinností dle GDPR, ale upravuje též jeho odpovědnost doložit dodržování tohoto souladu. Správce se tedy nemůže zprostit odpovědnosti například tím, jak se o to pokusila kontrolovaná osoba, že smaže předmětný software a s ním spojené osobní údaje. Správce je stále odpovědný za to, aby doložil soulad jím prováděného zpracování osobních údajů s GDPR, nedoložení tohoto souladu zakládá porušení GDPR a lze jej trestat pokutou.“
Smazáním osobních údajů před zahájením kontroly ÚOOÚ si nepomůžete
Následně k tomu ÚOOÚ ve vztahu k informování subjektů údajů dodal následující: „Dále je třeba uvést, že plnění informační povinnosti, ať již dle čl. 13, či 14 GDPR, je zcela zásadní povinností správce osobních údajů. Pouze řádně informovaný subjekt údajů má možnost se kvalifikovaně rozhodnout, zda své osobní údaje svěří správci, či zda neuplatní některé ze svých práv, jež mu dle GDPR náleží. Pokud subjekt údajů nemá reálnou představu o tom, jak zpracování jeho osobních údajů probíhá, je mu tato možnost odepřena a ve svém důsledku tím může v některých případech až znemožnit právo svobodné volby subjektu údajů stran toho, jakým způsobem může být s jeho osobními údaji nakládáno. Pokud pak Úřad dospěje k závěru, že ze strany správce došlo k takovému jednání proto, že se před subjekty údajů snažil utajit, jakým způsobem nakládá s osobními údaji, může se jednat o přestupek obdobně závažný jako například zpracování osobních údajů bez řádného právního titulu dle čl. 6 odst. 1 GDPR.“
Odcizené počítače s OÚ
V době, kdy GDPR vstupovalo v účinnost, se velmi často diskutovalo o po vinnosti ohlásit porušení zabezpečení. Často se hovořilo o povinnosti „udávání“. Podobné názory se nám v dnešní době vrací kvůli implementaci nových povinností v rámci whistleblowingu. Nicméně povinnost ohlásit porušení zabezpečení má svoje opodstatnění a její úmyslné ignorování ničemu nepomůže.
Pokud dojde k situaci, že vám je odcizen počítač, ve kterém jsou osobní údaje, je vaší povinností situaci posoudit a v případě splnění předmětných podmínek tuto skutečnost ÚOOÚ ohlásit. Jestliže by tak postupovala osoba z následující kontroly (UOOU-4754/21), možná by se vyhnula správnímu řízení o sankci.
V rámci nočního vloupání totiž kontrolovaná osoba přišla o celkem tři počítače, jejichž prostřednictvím zaměstnanci kontrolované osoby prováděli registrace klientů, a taktéž o jeden server. Kontrolovaná osoba sice následně na dálku zablokovala přístupy k databázím a nahlásila celou věc policii (která počítače nalezla), nicméně nepostupovala v souladu s pravidly pro ohlášení porušení zabezpečení – ani ÚOOÚ, ani návštěvníkům centra nesdělila nic.
Policie tak sekundovala ÚOOÚ v rámci analýzy předmětných počítačů a zjistila, že dva byly již reinstalovány bez stopy jakýchkoliv osobních údajů, třetí však obsahoval kompletní databázi, včetně záloh. Předmětné zařízení nebylo ani chráněno heslem či jakkoliv šifrováno. ÚOOÚ tak lakonicky konstatoval, že „přístup k osobním údajům mohl získat každý, kdo měl po odcizení počítačů k zařízení přístup“.
Korunu celé věci nasadila kontrolovaná osoba tím, že sice měla jmenovaného pověřence pro ochranu osobních údajů, nicméně tuto funkci zastával provozní ředitel společnosti – z povahy věci tedy osoba, kterou by měl DPO kontrolovat obzvláště.
ÚOOÚ tak shrnul následující zjištění: „(1) nebyla přijata vhodná technická a organizační opatření k zabezpečení osobních údajů; (2) ve lhůtě nebylo nahlášeno porušení zabezpečení osobních údajů Úřadu, přičemž nebyl uveden důvod opožděného ohlášení; (3) nebylo ohlášeno porušení zabezpečení dotčeným subjektům údajů; (4) nebyl jmenován pověřenec pro ochranu osobních údajů, byĺ docházelo ke zpracování zvláštní kategorie osobních údajů, přičemž toto zpracování bylo rozsáhlé; (5) Úřadu nebyly sděleny kontaktní údaje na pověřence pro ochranu osobních údajů; (6) nebylo zajištěno, aby jmenovaný pověřenec pro ochranu osobních údajů nebyl ve střetu zájmů ve spojitosti s úkoly, které plní u kontrolované osoby.“
Ačkoliv kontrolovaná osoba podala námitky proti zjištěním v plném rozsahu, nebylo jí to nic platné. Všechny námitky byly odmítnuty jako nedůvodné a bylo zahájeno správní řízení. Jako varování pak ÚOOÚ uvedl následující: „V této souvislosti předně Úřad doplňuje, že jakkoliv není jeho cílem trestat oběti útoků, které vynaložily adekvátní úsilí k zabezpečení osobních údajů, Úřad kategoricky stíhá porušení povinnosti nahlásit mu bezpečnostní incidenty.“
Městský kamerový systém
Pouze zjištěním „drobného“ pochybení skončila kontrola obce (UOOU-04351/21), jež byla zahájena na základě informací z médií, které se měly týkat monitoringu ulic kamerovým systémem s rozpoznáváním obličeje osob. V rámci místního šetření však bylo zjištěno, že ačkoliv dodavatel předmětného kamerového systému nabízí konkrétní moduly, jež danou funkcionalitu umožňují, v konkrétním případě tyto moduly nebyly nainstalovány. ÚOOÚ se tak spokojil jen s drobnou výtkou směřovanou ke způsobu vedení záznamů o činnostech zpracování dle čl. 30 GDPR, v nichž byla údajně chybně uvedena totožnost a kontaktní údaje správce a pověřence pro ochranu osobních údajů.
Comments