Kde odhalil ÚOOÚ největší hříšníky? V jakých případech lze vyžadovat kopii občanského průkazu a kdy už je to nadbytečné? Jak se ÚOOÚ staví k biometrickému podpisu? A za co Úřad uděloval pokuty?
Půl roku uběhlo a opět je zde vaše oblíbená rubrika – analýza postupu ÚOOÚ v rámci své kontrolní činnosti. V předchozích dílech Zpravodaje jsme vás informovali o tom, jak ÚOOÚ postupoval v rámci kontrol dodržování GDPR různými subjekty v první polovině roku 2020.
Díky znalosti aktuální rozhodovací praxe totiž držíme prst na tepu aktuálnosti výkladu různých povinností, což vám umožňuje revidovat vaše stávající postupy tak, aby pokud možno před ÚOOÚ obstály. Pokud víme, na co se ÚOOÚ obvykle ptá a dívá, můžeme se z toho poučit a lépe se na to připravit.
První oblasti, které si rozebereme v tomto článku, budou finanční služby a pojišťovnictví, v jejichž rámci se nám jako bumerang vrací problematika dynamického biometrického podpisu.
Kopie občanského průkazu
ÚOOÚ se podělil o závěry z celkem čtyř kontrol. Hned první kontrola patří mezi ty, jimž bychom měli věnovat pozornost. Na počátku byl stěžovatel (a následně další čtyři, kteří se k němu nezávisle na něm přidali), jemuž se nelíbilo, že banka podmiňuje zřízení běžného účtu pořízením kopie občanského průkazu. Při pořizování kopií banka vyžadovala souhlas se zpracováním osobních údajů, který nebyl podle ÚOOÚ sbírán v souladu s GDPR, a tím pádem mělo dojít k jeho porušení.
Téma kopie osobních dokladů rezonuje v této oblasti poměrně často a pravidelně se setkáváme s různými řešeními v praxi, jako je pouze částečné nahlédnutí do dokladu, anonymizace některých údajů při skenování, pouhé opsání identifikačního čísla průkazu a podobně.
Odpověď na to, co je správně, nám ÚOOÚ nedal, to se však pravděpodobně změní, neboť samotný protokol o kontrole byl napaden námitkami, kterým bylo částečně vyhověno, a ÚOOÚ zahájil se společností správní řízení, v jehož rámci se bude muset ke sporným otázkám vyjádřit a poskytnout odůvodnění. S trochou štěstí by tak mohl padnout „závazný“ právní názor, jak k této problematice dlouhodobě přistupovat.
Nabídka služeb bez souhlasu
Další z kontrol v této oblasti skončila již pokutou ve výši 10 000 korun za porušení zásady zákonnosti, korektnosti a transparentnosti a taktéž za nedostatky v oblasti právního titulu. Předmětem kontroly byly stížnosti ze strany klientů a potenciálních klientů, kteří byli kontrolovanou osobou kontaktováni s nabídkou produktů a služeb, aniž k tomu dali souhlas. Je zajímavé, že kontaktování proběhlo přes telefon. Dlužno dodat, že stále přetrvávající myšlenka, že obejdeme legislativu týkající se zasílání obchodních sdělení jednoduše tím, že místo e-mailu subjektu údajů zavoláme, se tímto ukázala jako lichá. V tomto případě ale šlo o něco jiného – zjednodušeně totiž zprostředkovatelé prostě přenesli kontakty z jedné společnosti do druhé, a tím porušili nejen smlouvu s předchozí společností, ale i GDPR. ÚOOÚ se taktéž vyjádřil k tomu, že v tomto případě kontrolovaná osoba nedisponovala žádným právním titulem a takové zpracování nesplňuje definiční znaky nezbytnosti pro splnění oprávněného zájmu kontrolované osoby ani třetí strany.
Široký přístup ÚOOÚ
Třetí z kontrol v této oblasti probíhala na základě kontrolního plánu a podle všeho dopadla dobře, protože kontrolor žádná pochybení neodhalil. Jediné, co je na této kontrole zajímavé, je šíře, s jakou se do ní ÚOOÚ pustil, nebo alespoň jakou práci si dal s tím nás o tomto informovat. V rámci této kontroly totiž ÚOOÚ prověřil vše od způsobu shromažďování osobních údajů po právní tituly, informování, ukládání cookies, ale i způsob reagování na požadavky subjektů údajů včetně způsobu zabezpečení osobních údajů a vyhodnocení rizik. ÚOOÚ tak kontroloval nejen informace, ale i smlouvy s dodavateli a další dokumentaci. Lze tak přinejmenším upozornit na to, že záběr kontroly ze strany ÚOOÚ je skutečně velmi široký.
Na co se zaměřuje ÚOOÚ při kontrolách:
• způsob shromažďování osobních údajů • právní tituly • informační povinnost • soubory cookie • reagování na požadavky subjektů údajů • zabezpečení osobních údajů • vyhodnocení rizik • smlouvy s dodavateli
Dynamický biometrický podpis
Poslední kontrola z této oblasti je asi nejzajímavější, protože se týká dynamického biometrického podpisu – tedy tématu, na kterém se odborná veřejnost s ÚOOÚ úplně neshoduje. Tato kontrola byla taktéž zahájena na základě kontrolního plánu, ale oproti předchozímu případu bylo v tomto případě s kontrolovanou osobou zahájeno správní řízení o uložení opatření k nápravě, a pravděpodobně bude mít případ dohru i v rámci správního řízení. Z našeho pohledu je to rozhodně dobře, protože důvod, jenž k tomu ÚOOÚ vedl, není po prvním přečtení moc pochopitelný a nápadně se podobá již jednou rozhodnuté věci, která však nebyla před správními soudy dále řešena.
Obchodní společnost využívala pro podpis smluvní dokumentace dynamický biometrický podpis, přičemž kontrolovaný k tomu uvedl následující: „Dále bylo konstatováno, že pro účely uzavření a uchování smluvní dokumentace není nezbytné využívat dynamický biometrický podpis, neboĺ v případě podpisu dokumentů v listinné podobě není také vyžadován a jako dostatečný je pro stanovené účely prostý obraz podpisu klienta na dematerializované smluvní dokumentaci, který je srovnatelný s podpisem smluvní dokumentace v listinné podobě.“
ÚOOÚ dále uvádí: „Občanský zákoník ani zvláštní právní úprava tedy vysloveně nevyžadují pro platnost právního jednání v písemné formě dynamický biometrický podpis.“ Na základě toho všeho tak ÚOOÚ konstatoval, že došlo k porušení zásady minimalizace dle čl. 5 odst. 1 písm. c) GDPR. Ostatně tento názor pokračuje v dlouhodobém názoru na biometrický podpis, který se krystalicky projevil v rozhodnutí č. j. UOOU‐10138/18‐8 ze dne 21. března 2019, z něhož pochází i výše uvedená citace.
V čem tedy ÚOOÚ spatřuje problém? K věci se staví tak, že pokud lze smlouvu podepsat i vlastnoručním podpisem, je podepsání dynamickým biometrickým podpisem nadbytečné, a tudíž dochází k porušování zásady minimalizace. Bližší argumentaci prozatím neznáme. V tomto případě ÚOOÚ konstatuje, že zahájil navazující řízení, takže je dost možné, že se tato otázka přece jen dostane před soudní přezkum, který by v tom mohl udělat jasno.
Závěr
Kontrolní činnost ÚOOÚ je vždy zajímavá, neboť nám často odpovídá na zásadní otázky, které text GDPR bohužel nezodpoví. Ne vždy však ÚOOÚ rozhoduje tak, jak k tomu přistupuje odborná veřejnost, tudíž se určitě můžeme těšit na další diskuze týkající se dynamického biometrického podpisu. V příštím díle se podíváme na kontroly z dalších oblastí, jako je například IT či státní správa.
Článek vyšel v Elektronickém zpravodaji pro pověřence