Lze zpracovávat biometrické údaje zaměstnanců na základě jejich souhlasu? A je bezpečné předávat pacientům údaje o zdravotním stavu prostřednictvím webových stránek? Tyto a další otázky si kladl ÚOOÚ během kontrol. Jaké závěry z nich vyplynuly?
V předchozích dvou dílech jsme vás informovali o kontrolách, které ÚOOÚ provedl v první polovině tohoto roku. V posledních oblastech se ÚOOÚ věnoval kontrole zpracování osobních údajů v rámci HR agendy, ale svoji pozornost věnoval i plnění povinností v rámci zdravotnictví. Jak si kontrolované osoby v těchto oblastech vedly?
Zaměstnavatelé
V rámci HR agendy došlo pouze k jediné kontrole, a to v oblasti sledování zaměstnanců (například prostřednictvím GPS lokátorů v autech či kamerového systému) a docházkového systému, založeného mimo jiné na technologii otisků prstů.
Kontrolovaná osoba předložila ÚOOÚ souhlas se zpracováním osobních a biometrických údajů celkem sedmi z osmi zaměstnanců, jehož součástí bylo i poučení subjektů údajů. ÚOOÚ jako vadu souhlasu identifikoval, že na něj nebylo možno pohlížet jako na platně udělený, přičemž dle dostupných informací chyběly i klíčové informace dle čl. 13 GDPR. ÚOOÚ však uvádí, že v průběhu kontroly došlo k nápravě závadného stavu a kontrolovaná osoba uvedla souhlas a informační povinnost do souladu s GDPR.
Zdravotnictví
Oblasti zdravotnictví se oproti zaměstnanecké agendě ÚOOÚ věnoval poměrně dost. Provedl zde totiž celkem tři kontroly a ne všechny se obešly bez navazujících řízení o uložení nápravného opatření.
První kontrolu ÚOOÚ zahájil na základě skutečností, které se dozvěděl z ohlášení porušení zabezpečení. Kontrolovaná osoba je dle slov ÚOOÚ provozovatelem nestátního zdravotnického zařízení. Ten provozoval internetové stránky, prostřednictvím kterých předával výsledky z vyšetření pacientům a lékařům, kteří vyšetření doporučili. Samotné předání probíhalo na základě hesla, které bylo společné jak pro pacienta, tak i lékaře. Tyto stránky byly napadeny útočníkem, který po útoku upozornil kontrolovanou osobu e-mailem o nedostatcích týkajících se zabezpečení (slabá hesla a slabé zabezpečení protokolu stránek). Kontrolovaná osoba v návaznosti na to pozastavila činnost předmětných stránek a dle slov ÚOOÚ „navrhla technická opatření pro vyšší zabezpečení“.
To ÚOOÚ samo o sobě nevadilo. Úřad však na základě vlastního šetření zjistil, že kontrolovaná osoba provozuje ještě další webové stránky sloužící k podobnému účelu, které však vykazují stejné nedostatky jako napadené stránky, přičemž v případě těchto stránek nedošlo k omezení provozu ani implementaci nových technických opatření. To se již ÚOOÚ nelíbilo, a proto kontrola pokračovala do dalšího řízení, v rámci kterého Úřad hodlá uložit kontrolované osobě opatření k nápravě. Dle popisu ÚOOÚ lze objektivně říct, že úroveň zabezpečení, když různé osoby sdílejí heslo, přístup k údajům o zdravotním stavu není logován, a to ani na úrovni administrátorského přístupu, který byl navíc zabezpečen heslem o síle pouze tří znaků, nelze chápat jinak než jako přístup hraničící s ignorací zákonných povinností.
Další kontrola proběhla na základě plánu kontrol na rok 2019, kterému předcházely stížnosti související s ambulantním informačním systémem. Konkrétně byl kontrolován proces vydávání elektronických receptů (e-receptů), a to v souvislosti se zapojením zpracovatele, který daný informační systém spravoval. ÚOOÚ se nelíbilo, nejen to, že nebyla mezi kontrolovanou osobou jako správcem a provozovatelem systému uzavřena zpracovatelská smlouva, ale dle slov Úřadu kontrolovaná osoba ani nevěděla, kdo je skutečným poskytovatelem softwarových služeb, se kterým by smlouvu měla uzavřít. ÚOOÚ tak konstatoval, že došlo k porušení několika ustanovení GDPR, a konkrétně vytkl porušení zapojení dalšího zpracovatele a porušení zásady transparentnosti.
Třetí kontrola proběhla taktéž na základě plánu kontrol, mimoto však i v souvislosti s ohlášením porušení zabezpečení. Předmětem této kontroly bylo dodržování povinností v souvislosti s testováním DNA, přičemž spouštěčem událostí měl být nález ampulek s biologickým materiálem u Městské plovárny v Plzni. Kontrola zabezpečení neodhalila porušení GDPR, neboť celý incident byl důsledkem trestné činnosti mimo dosah kontrolované společnosti, která na likvidaci najímala specializovanou firmu.
Ostatní kontroly
Do kategorie ostatní zařadil ÚOOÚ už jen dvě kontroly. První byla zahájena na základě podnětu, který Úřadu postoupila Policie České republiky. Ta obdržela podání s tvrzením, že se v prostorách společnosti, která skončila v insolvenci, nachází fotokopie občanského průkazu. Policie skutečně provedla ohledání devíti místností a objevila „kancelářský odpad“ na zemi a pořídila z těchto místností fotodokumentaci, avšak bez důkazu, že by v rámci kancelářského odpadu byly nalezeny osobní údaje. ÚOOÚ v rámci kontroly zjistil, že před jejím zahájením bylo sídlo společnosti, která byla v likvidaci, prodáno novému majiteli.
Další popis ze strany ÚOOÚ je přinejmenším zajímavý: „Bylo zjištěno, že prodej se uskutečnil před zahájením kontroly, že nový majitel objektu nemá k dispozici žádné dokumenty a ani žádné na místě nenašel.“ ÚOOÚ tak na základě této informace a také na základě závěrů z ohledání ze strany policie kontrolu uzavřel s tím, že nebylo prokázáno podezření na neoprávněné zpřístupnění osobních údajů bývalých zaměstnanců.
Druhá kontrola bude pravděpodobně zajímat všechny, kteří působí ve spolku. Kontrolovanou osobou totiž byl spolek chovatelů psů, proti kterému směřovala stížnost. Její podatelka si stěžovala na porušení GDPR, neboť měla být pod pohrůžkou vyloučení ze spolku nucena k udělení souhlasu se zpracováním osobních údajů. Stěžovatelka se pak domáhala ukončení zpracování osobních údajů vyjma těch, které jsou zpracovány v souvislosti s evidencí chovů psů v chovné stanici, v níž za chov psů stěžovatelka zodpovídá. ÚOOÚ v rámci kontroly poměrně nepřekvapivě konstatoval chybný právní titul, neboť zpracování za účely nezbytnými pro naplnění určitých článků stanov (účel, cíl činnosti) zpracovával na základě souhlasu, nikoli na základě oprávněného zájmu. Samotný souhlas pak porušoval GDPR již jen tím, že nemohl být pod pohrůžkou nepřijetí/vyloučení udělen svobodně.
Tam však pochopitelně ÚOOÚ ve svých zjištění neskončil a konstatoval, že s ohledem na to, že byl zvolen špatný právní titul, došlo k poskytnutí nepřesných a nesprávných informací. Bylo také zjištěno porušení čl. 30 GDPR, neboť dle slov ÚOOÚ „spolek neměl vypracován žádné vnitřní dokumenty o zpracování osobních údajů a nedokumentoval přijatá technicko-organizační opatření ke zpracování osobních údajů.“ Proti všem zjištěním se spolek neúspěšně odvolal. K sankci to však nevedlo, neboť ÚOOÚ bral jako polehčující okolnost to, že zásah do soukromí nedosahoval většího rozsahu, spolek jednal v dobré víře (sic!) a také přijal opatření k nápravě závadného stavu.
Závěr
Závěry z výše uvedených kontrol jsou zajímavé z několika úhlů. Ačkoli ÚOOÚ ke kontrole plnění povinností dle GDPR přistupoval poměrně důkladně, sankcemi spíše šetřil. Pokud bychom si z proběhlých kontrol měli vzít ponaučení, pak to, že bychom zejména zabezpečení osobních údajů neměli brát na lehkou váhu. To samo o sobě neznamená, že je nutné utrácet peníze za složitá technická opatření. Měli bychom však alespoň všechna technická a organizační opatření zmapovat a popsat je. Víme, že ÚOOÚ se na tento dokument ptá.
Článek vyšel v Elektronickém zpravodaji pro pověřence dne 20. 8. 2020
Comments