• Josef Bátrla

[Článek] Co přinesly kontroly ÚOOÚ za první pololetí?

Aktualizace: čvc 28

Závěry z kontrol ÚOOÚ vysílají všem společnostem jasnou zprávu: kontroly jsou do hloubky. Interní dokumentace, doložení posouzení nezbytnosti, zpracování zabezpečení, to všechno musíte mít v pořádku.



V polovině roku ÚOOÚ vždy uveřejňuje závěry z kontrol za první pololetí daného roku. Ačkoli se vždy nejedná o ukončené věci a nemůžeme vše vnímat jako bernou minci, veškeré naše úsilí směřuje právě k tomu, aby v případě kontroly ze strany ÚOOÚ vše proběhlo hladce.


Obsahově je toto téma tak rozsáhlé, že není možno jej popsat v jednom článku. Můžete se tak těšit na podrobnější články v dalších číslech, zejména co se týče kontrol cookies. Díky žádosti „dle 106“ máme k dispozici stovky stran kontrolních protokolů z celkem osmi kontrol. To platí i pro druhou sféru kontrolovaných činností – zasílání obchodních sdělení.


CO ÚOOÚ KONTROLOVAL: • Finanční služby a pojišťovnictví • IT technologie • Obce a státní správu • Prodej zboží a služeb • Školství • Zaměstnavatele • Zdravotnictví • Ostatní


Finanční služby a pojišťovnictví

V této oblasti řešil ÚOOÚ jediný pří­pad. Týkal se podnětu proti neopráv­něnému zpracování osobních údajů v rámci nebankovního registru klientských informací. Stížnost smě­řovala proti zpracování osobních úda­jů v registru NRKI po ukončení lea­singové smlouvy. Samotné kontrolní řízení bylo přerušeno, neboť ÚOOÚ čeká, jak dopadne řízení před ústav­ním soudem. Ustanovení spotřebitel­ského zákona, které se týká informač­ní databáze o bonitě a důvěryhodnosti spotřebitele, bylo napadeno „ze dvou stran“, a to jak v rámci řízení před soudem, tak i v rámci návrhu na zrušení, který byl podán sedmnácti senátory.

Co v zásadě senátorům vadilo, je to, že sběr osobních údajů není v sou­ladu s testem proporcionality. Ústav­ní soud se tak bude muset zabývat otázkou, nakolik je vhodné, aby zákon bez souhlasu spotřebitele umožňoval sběr jeho osobních údajů a sdílení těchto údajů se subjekty, s nimiž spo­třebitel ani nemusel přijít do obchod­ního vztahu.


IT technologie

V této oblasti se ÚOOÚ zaměřil na dvě oblasti – cookies (těm se budeme věnovat v dalších číslech) a zpraco­vání otisků prstů při vstupech do kasina. V druhé oblasti totiž proběh­ly dvě kontroly, a to na základě kont­rolního plánu pro rok 2019 a podně­tu Generálního ředitelství cel, které v rámci dozoru nad kasiny zjistilo, že při registraci hráčů některá z nich po­žadují otisk prstu, který dále slouží jako registrační a přístupové údaje. V tomto případě mělo jít o jedinou možnost, jak hráče registrovat. ÚOOÚ však neshledal žádné porušení, neboť první kontrolovaná osoba nemá povo­lení k provozování hazardní her a tuto činnost ani nevykonává – s ohledem na to tak nedochází ani k předmětné­mu zpracování osobních údajů.


V druhém případě kasino umož­ňovalo registraci prostřednic­tvím otisku, face-id společně s účastnickou kartou nebo účastnickou kartou a občan­ským průkazem. ÚOOÚ však nezjistil žádné porušení, neboť kontrolovaný předložil sou­hlasy se zpracováním biometrických údajů, které dle ÚOOÚ odpovídali GDPR. Úřad se spokojil s tím, že jak otisk prstu, tak i otisk obličeje jsou šifrovány a ukládají se jako hash. Kontrolovaný subjekt navíc dispono­val posouzením, že při případném úniku hashe nedochází k významné­mu riziku.

Proč se ÚOOÚ věnoval této ob­lasti, je nasnadě. Otisk prstu, který slouží k identifikaci subjektu údajů, patří do zvláštní kategorie osobních údajů jako biometrický údaj, na je­hož zpracování GDPR klade vyšší ná­roky.


Již v minulosti se ÚOOÚ věnoval užití technologií, jako je face ID či používání hlasové biometrie za úče­lem ověření klienta. Právě v případě hlasové identifikace volajícího, jak ÚOOÚ v rámci informování o kontro­le České spořitelny na svém webu uve­dl, je „použití biometrického systému za účelem ověření identity zákazníka přitom obecně možné pouze na základě výslovného souhlasu tohoto zákazníka“. S obecnou platností tohoto závěru se ne vždy lze úplně ztotožnit, je však nut­no s ním počítat, a v případě, že takový systém využíváme v situacích, kdy sou­hlas není možný (zejména s ohledem na nezbytnost pro určení, výkon nebo obhajobu právních nároků), je třeba disponovat přesvědčivým odůvodně­ním. To platí i pro obecný požadavek ÚOOÚ, aby tyto technologie byly nasa­zovány jen v případech, kdy skutečně není jiné cesty (tzn. test proporcionali­ty a zásada minimalizace).


Obce a státní správa

V této oblasti ukončil ÚOOÚ jedinou kontrolu. Ta se týkala zpracování osobních údajů soudním exekuto­rem. ÚOOÚ totiž obdržel dva podně­ty (jeden se týkal události, která byla datována do roku 2012) ve věci chybného vý­běru adresáta datové zprá­vy při zasálání oficiálních dokumentů. Dlužno dodat, že se jednalo o již jednou kontrolovaný subjekt.

Lze se poměrně jednoduše vžít do situace osob, které zasílaly podně­ty, neboť představa, že informace o vaší exekuci (přes Centrální registr exekucí) bude zaslána někomu jiné­mu, je poměrně děsivá. ÚOOÚ tak zahájil kontrolu povinností při za­bezpečení před neoprávněným zpří­stupněním třetí osobě.


Nad rámec informací zjištěných v této kontrole si ÚOOÚ dovolil uvést doplňující informaci pro všechny správce a zpracovatele, aby implementovali a nastavili mecha­nismus pravidelného vyhodnoco­vání, který zajistí kontrolu a elimi­naci chyb lidského faktoru jednot-livců. Pochybení v této konkrétní věci ÚOOÚ shledal v tom, že „inter­ní systém zpracovávající osobní údaje klientů vykazoval systémovou chybu při výběru datové schránky obesílané­ho“. ÚOOÚ se v tomto bodě spokojil s tím, že byla přijata technicko-or­ganizační opatření, která měla těm­to chybám zabránit.


Závěr

Ačkoli se může zdát, že závěry z výše popsaných kontrol nepřináší nic nové­ho, opak je pravdou. ÚOOÚ totiž ne­prováděl kontrolu po povrchu, ale zají­mal se o to, proč jsou údaje daným způsobem zpracovávány a jak je pro­vedeno jejich zabezpečení. ÚOOÚ se zajímal o interní dokumentaci, dolože­ní posouzení nezbytnosti zpracování a komplexního zabezpečení, včetně im­plementace organizačně-technických opatření. GDPR totiž není jen o hez­kém informačním dokumentu na webu, ale i o koncepcích zpracování a posouzení jeho nezbytnos­ti, včetně odůvodnění postu­pu správce. V dalších číslech se do­zvíte, na kolik by vás vyšlo ignorování komunikace ze strany ÚOOÚ nebo jaká doba uchování údajů zákazníků je pro ÚOOÚ ještě akceptovatelná.


Článek byl publikován dne 22. 7. 2020 v Elektronickém zpravodaji pro pověřence

Sdělení pro spotřebitele: Případné spory z poskytování právních služeb můžete řešit mimosoudně prostřednictvím České advokátní komory v souladu se zákonem č. 634/1992 Sb., o ochraně spotřebitele. Další informace včetně postupu naleznete zde  

© 2020 by Josef Bátrla.