Co odhalily kontroly ÚOOÚ ve školství a obchodu? Je třeba logovat přístup k osobním údajům i při malém počtu zaměstnanců? A lze zveřejnit fotografii zaměstnance na základě oprávněného zájmu?
V minulém čísle jsme se věnovali kontrolním závěrům ÚOOÚ z oblasti IT technologií a státní správy, aby se ze zjištěných chyb poučili i ostatní a aby nahlédli pod pokličku právních názorů ÚOOÚ. V tomto čísle se podíváme na kontrolní závěry z oblasti prodeje zboží a služeb a školství. Tyto oblasti mohou na první pohled vypadat nudně, ÚOOÚ se však věnoval i takovým otázkám, jako je logování přístupu či právní titul pro zpracování fotografií zaměstnanců. Pojďme tedy na to.
Katalogové služby
Obdrželi jste někdy jako podnikatelé dopis, k němuž byla přiložena složenka a v záhlaví dopisu bylo uvedeno například „Rejstřík obchodu a živnosti“ či jiný nadpis, jenž by mohl působit matoucím způsobem? Pokud ne, věřte, že když začínajícímu podnikateli takový přípis přijde, často má nakročeno k tomu, aby naletěl možným podvodníkům a platil za něco, co je vlastně úplně zbytečné.
Dopis totiž vypadá, jako by přišel od státní instituce, která žádá o uhrazení běžného poplatku, aby vás mohla zařadit do rejstříku – což se po zaplacení skutečně stane, nicméně nejedná se o živnostenský či obchodní rejstřík, ale rejstřík (lépe řečeno katalog) soukromé společnosti, jenž většinou nemá žádný dosah. Ve většině případů se pro takový business model zažil název katalogový podvod, a kdo se s ním ještě neseznámil, může se o něm dozvědět více například zde.
Právě jednoho z provozovatelů katalogu „Rejstřík obchodu a živnosti“ kontroloval i ÚOOÚ, a to v reakci na stížnost subjektu údajů, jehož námitky proti zpracování osobních údajů na základě oprávněného zájmu nebyly ze strany kontrolované osoby reflektovány. Stěžovatel totiž obdržel od této společnosti výzvu, kterou ÚOOÚ při kontrole kvalifikoval jako nevyžádanou a adresnou nabídku služeb. Stěžovatel však nebyl dle textace ÚOOÚ schopen doložit, že skutečně podal námitky proti danému zpracování na základě oprávněného zájmu, a ÚOOÚ tudíž celou situaci vyhodnotil jen jako porušení čl. 6 odst. 1 GDPR, nikoliv čl. 12 GPDR. Společnost proti kontrolním zjištěním podala námitky, ty však byly předsedou ÚOOÚ zamítnuty.
Prodejci energií
ÚOOÚ se věnoval taktéž oblasti prodeje energií, což si předsevzal v rámci kontrolního plánu pro rok 2020. V této oblasti máme informace o dvou provedených kontrolách. V rámci první ÚOOÚ nezjistil nic mimořádného, nicméně přece jen otevřel jednu klíčovou otázku zabezpečení osobních údajů – logování přístupů k osobním údajům. V daném případě totiž kontrolovaná osoba vyhodnotila, že má malý počet zaměstnanců a zpracování nevykazuje přílišné riziko pro práva subjektů údajů.
ÚOOÚ tuto skutečnost okomentoval tak, že ačkoliv povinnost logování přístupu nemá svoji výslovnou oporu v GDPR, stává se již standardní ochranou a nezbytnou součástí zabezpečení osobních údajů, ale že je to na volbě správce, přičemž zdůraznil, že nelogování přístupu s sebou nese větší odpovědnost. Doslova ÚOOÚ řekl: „V případě, že dojde k neoprávněnému přístupu k osobním údajům, popřípadě k jejich zneužití a správce nebude v daném případě schopen prokázat, kdo, kdy a za jakým účelem k osobním údajům neoprávněně přistoupil, bude odpovídat za vzniklé protiprávní následky v plném rozsahu.“ V tomto konkrétním případě tak ÚOOÚ přihlédl k argumentu malých rizik a malého počtu zaměstnanců, nicméně můžeme to chápat také jako jemné naznačení, jak k této problematice bude příště přistupovat.
Druhá kontrola v této oblasti si ani nezaslouží bližší komentář, neboť ÚOOÚ se omezil na konstatování, že nezjistil žádné porušení.
Kontroly ve školství Kontrolní činnost ve školství nebyla nikterak plodná, alespoň pro naše potřeby. V této oblasti se v souladu se svým kontrolním plánem ÚOOÚ věnoval kontrole zpracování osobních údajů v rámci informačního systému Bakaláři, a to celkem dvakrát – ani jednou však neodhalil porušení GDPR. Třetí kontrola byla věnována základní škole, a to na základě stížnosti na protiprávní předání osobních údajů ze strany základní školy Spolku ZUŠ. Tento závěr však ÚOOÚ nepotvrdil.
Zaměstnanecká agenda
To nejzajímavější přichází na samotný konec – ÚOOÚ kontroloval státní příspěvkovou organizaci na základě stížnosti, která mířila proti zpracování osobních fotografií zaměstnanců na internetových stránkách zaměstnavatele.
Původně zaměstnavatel na svém webu uveřejňoval fotografie zástupců regionálních poboček a činil tak na základě uděleného souhlasu. Nicméně okamžikem, kdy byl daný souhlas ze strany stěžovatelky odvolán a byl požadován výmaz fotografií, přehodnotila kontrolovaná osoba právní základ pro dané zpracování a sdělila, že se jedná o zpracování osobních údajů na základě oprávněného zájmu, a dokonce k tomu stěžovatelce předložila i balanční test.
Kontrola ze strany ÚOOÚ toto neakceptovala, připustila nicméně poměrně zásadní věc, a sice že zpracování osobních údajů prostřednictvím fotografie by bylo možno schovat pod oprávněný zájem, v daném případě ovšem neobstál balanční test, který měl prokázat přednost oprávněného zájmu před právy subjektu údajů. ÚOOÚ k tomu obecně připojil doplňující informace: „Ačkoli obecné nařízení nestanoví závaznou podobu balančního testu, musí tento prokázat oprávněné zájmy pro dané zpracování, které převažují nad zájmy nebo základními právy a svobodami subjektů údajů. Jestliže oprávněný zájem prokázán není, nelze pro toto zpracování využít právní titul ve smyslu čl. 6 odst. 1 písm. f) obecného nařízení. V rámci balančního testu se nikdy nebude možné spokojit s prostým konstatováním, že ve vztahu k subjektu údajů žádná rizika neexistují, tak jak bylo uvedeno v balančním textu kontrolované osoby. Jestliže jsou rizika určitými opatřeními minimalizována, pak právě balanční test poskytuje pro tyto úvahy a informace vhodný prostor.“ Je tedy otázkou, zda možnost zpracování osobních údajů na základě oprávněného zájmu v této formě není spíše teoretickou možností, která bude v praxi vždy vyloučena tím, že předmětné zpracování neprojde balančním testem.
Závěr
Závěry ze zmíněných kontrol otevřely dvě poměrně zásadní otázky, jako je povinnost logovat přístupy k osobním údajům (což se z počátku účinnosti GDPR velmi často zaměňovalo za povinnost dle čl. 30 GDPR), ale i užívání fotografií na webu. V dalším díle se můžete těšit na závěry z kontrol, které se týkají zdravotnictví a dalších oblastí.
Článek vyšel v Elektronickém zpravodaji pro pověřence