Kontroly ÚOOÚ se nevyhýbají ani finančním institucím. Jaká pochybení Úřad odhalil? Jak je to s pořizováním kopií občanských průkazů a offboardingem zaměstnanců? A jaké závěry byste si z těchto kontrol měli vzít vy?

Uplynulo dalších šest měsíců, a tak vám opět přinášíme oblíbený seriál o kontrolách Úřadu pro ochranu osobních údajů. V následujících číslech si pečlivě projdeme závěry z kontrolní činnosti ÚOOÚ za první půlrok 2021. Proč přikládáme závěrům z kontrol ÚOOÚ takovou důležitost? Poznáme z nich totiž nejen, na co se ÚOOÚ při svých kontrolách zaměřuje, co pokutuje a v jaké výši, ale také na co si je dobré dát pozor do budoucna.
Díky kontrolám ÚOOÚ máme přinejmenším důvod podívat se do naší dokumentace a zkontrolovat si, že je vše v pořádku. Toto pololetí bylo navíc opravdu výživné. V tomto díle se podíváme na první oblast kontrol, a sice pojišťovnictví a finanční služby.
Kontrola zabezpečení
Pod sp. zn. UOOU-04748/20 řešil ÚOOÚ případ, který se sice obešel bez pokuty (neboť předmětná pojišťovna byla v postavení veřejného subjektu, jemuž nelze pokutu udělit), závěr této kontroly je ale velice zajímavý. Dle krátkého sdělení Úřadu víme, že příběh začal u jednoho zaměstnance, který si stěžoval ÚOOÚ na porušení zabezpečení, jehož se měl dopustit zaměstnavatel, a to svým nekonáním. Stěžovatel totiž uvedl, že ke dni rozvázání pracovního poměru nedošlo ke zrušení jeho přístupu do datové schránky společnosti, a měl tak přístup k části osobních údajů po dobu cca 2 měsíců od ukončení pracovního poměru. ÚOOÚ toto „nejednání“ kvalifikoval jako porušení povinnosti čl. 32 odst. 2 GDPR, neboť správce/zaměstnavatel neposoudil možná rizika a neimplementoval opatření proti neoprávněnému přístupu k osobním údajům.
Nezapomeňte bývalému zaměstnanci odebrat přístup do firemní databáze
Poučení v tomto případě nabídl sám ÚOOÚ, a sice ve formě informace o zakotvení výstupního procesu zaměstnavatele. Odpovědná osoba by podle něj před finálním ukončením pracovního poměru měla ověřit nejen to, že zaměstnanec vrátil veškeré půjčené pracovní pomůcky, ale také že byl zaměstnanci odebrán přístup tam, kam ho zkrátka nemá mít.
Zatímco většina velkých společností má tento proces zpravidla dobře vyřešený, u menších společností se často stává, že zaměstnavatel si ani nevede evidenci, kdo má kam přístup. Kromě toho se u některých služeb často využívá jeden přístup pro více lidí, aniž by se evidovalo, komu byl takový přístup udělen. Pokud jde o přístup k firemnímu předplatnému internetového deníku, asi to není takový problém jako v případě opomenutého (nebo sdíleného) přístupu k e-mailingovému nástroji, ve kterém je vedena celá klientská databáze.
V tomto duchu je tak dobré se z výše uvedené kontroly poučit. Stejně tak, jako dbáme na ochranu osobních údajů v případě náboru zaměstnanců, měli bychom si dát pozor na otázku zpracování osobních údajů i při takzvaném offboardingu.
Kontrola asistenční služby
Další kontrola se týkala pojišťovny, respektive asistenční služby, a byla zahájena na základě stížnosti stěžovatele, kterému se nelíbilo, že musí s pojišťovnou komunikovat přes monitorované hovory a zasílat důležité doklady a údaje přes nezabezpečené kanály.
Motivem této kontroly tak byla činnost asistenční společnosti, která se starala o likvidaci pojistných událostí a další činnosti v souvislosti s cestovním pojištěním. V tomto případě se stěžovateli nelíbilo, že v rámci řešení pojistné události nebyl dle jeho slov pečlivě informován o zpracování osobních údajů v rámci uchovávání záznamu z telefonního hovoru a že po něm asistenční služba chtěla doložení některých dokladů (které se týkaly dcery stěžovatele, a to v přímém vztahu k pojistné události) prostřednictvím nezabezpečeného e-mailu. Úřad však v rámci činnosti pojišťovny neshledal žádný problém, což je ve vztahu k posouzení ze strany ÚOOÚ přinejmenším zajímavé.
Stěžovateli se nelíbilo, že asistenční služba v rámci informačního memoranda uvádí: „V případech, kdy s námi komunikujete emailem, vezměte prosím na vědomí, že se jedná o nezabezpečený komunikační kanál a odpovědnost za zaslané osobní údaje přebíráme až jejich přijetím na náš poštovní server.“ Posouzení ze strany Úřadu je v tomto případě pozoruhodné – ÚOOÚ totiž uvedl: „Bylo tedy jen na svobodné vůli stěžovatele, zda využije k zaslání žádané kopie dokladu email nebo využije jiné možnosti k prokázání věku dcery, např. průkazem pojištěnce, případně nárok na úhradu nákladů na repatriaci osoby blízké uplatní až po návratu do ČR, čímž by odpadl problém ověření věku dítěte elektronickým zasláním dokladu.“
Jen velmi těžko lze přijmout odůvodnění (nikoliv nutně závěr) ÚOOÚ, který možné neporušení GDPR odůvodňuje tím, že stěžovatel mohl celou pojistnou událost řešit až po návratu do ČR a vlastně nebyl nucen využít nezabezpečený komunikační kanál pro zaslání relativně citlivých dokumentů. Stěží to můžeme brát jako doporučení rezignovat na otázku bezpečnosti zpracování osobních údajů v okamžiku, kdy je subjektu údajů umožněno komunikovat jiným způsobem. Touto optikou bychom totiž klidně mohli dojít k závěru, že užívání šifrování v případě přístupových údajů k uživatelskému profilu na e-shopu je nadbytečné v okamžiku, kdy můžeme zákazníka odkázat na nákup zboží v kamenné prodejně bez nutnosti se registrovat.
Takový výklad by těžko obstál a jeho dopad mírní sdělení ÚOOÚ, který v rámci kontrolního protokolu v uvedené věci dodal: „Podezření stěžovatele na nebezpečnost komunikačního kanálu (e-mailu) pro zpracování osobních údajů jeho i jeho dcery byla předána k posouzení a přijetí vlastních opatření Národnímu úřadu pro kybernetickou a informační bezpečnost.“
K zahájení kontroly stačí stížnost jediného zaměstnance nebo klienta
Kopie občanských průkazů
Těžko bychom mohli čekat, že se kontrolní činnost ÚOOÚ obejde bez kontroly dodržování povinností v oblasti vytváření a uchovávání kopií občanských průkazů. Ostatně tato kontrola sp. zn. UOOU-03866/20 u poskytovatele půjček byla zahájena na základě kontrolního plánu na rok 2020.
Tématu kopií dokladů jsme se věnovali ve Zpravodaji už dříve, a to i ve vztahu k AML zákonu, více si můžete přečíst zde. V tomto případě ÚOOÚ neidentifikoval žádný problém, neboť kopírování dokladů probíhalo ve vztahu ke dvěma typům smluv (respektive ke dvěma typům kontraktačního procesu). V prvním případě šlo o smlouvy, které jsou uzavírány na dálku a u nichž AML zákon vyžaduje poskytnutí takových údajů, a jednalo se proto o právní povinnost. Ve druhém případě docházelo ke kopírování občanského průkazu při uzavírání smluv na místě, ovšem jen na základě přechozího svobodného souhlasu zákazníka.
Zpracování osobních údajů při poskytování půjček
Zda byla kontrola sp. zn. UOOU-03541/20 něčím významná, nelze z tiskové zprávy ÚOOÚ poznat. Úřad totiž v rámci tiskové zprávy specifikoval pouze rozsah kontroly, který ohraničil jednotlivými články (tedy čl. 7, čl. 12 až čl. 14, čl. 16 až čl. 22, čl. 30, čl. 32 až čl. 34 a čl. 37), přičemž nenarazil na žádné pochybení. Jediné, co si z této kontroly tak můžeme vzít, je rozsah, kterým se ÚOOÚ při kontrole zabýval – právními tituly, transparentností i zabezpečením.
Stačí stížnost jedné osoby
Finanční služby a pojišťovnictví jsou sektor, kterému se kontroly ze strany ÚOOÚ zpravidla nevyhnou. Ačkoliv do tohoto segmentu nemusí vaše společnost nutně spadat, stejně je nutné věnovat závěrům z kontrol dostatečnou pozornost. Zajímavé je přinejmenším to, že ke dvěma kontrolám vedla stížnost jediné osoby. Za pozornost stojí také téma offboardingu, které bylo předmětem jedné z kontrol a které bývá ve vztahu k otázce zpracování osobních údajů často zanedbávané. Příště se můžete těšit na kontroly z neziskového sektoru, obcí a státní správy. Podíváme se například na zveřejňování prostřednictvím úřední desky s dálkovým přístupem.
Článek byl publikován v Elektronickém zpravodaji pro pověřence
Comments