• Josef Bátrla

Kontroly ÚOOÚ ve státní správě a obcích

Co odhalily kontroly Úřadu pro ochranu osobních údajů v oblasti státní správy a obcí? Úřad si posvítil na rezervační i kamerové systémy. V čem obce nejčastěji chybují?

V předchozím čísle jsme rozebrali poznatky z kontrolní činnosti ÚOOÚ za druhé pololetí roku 2020 v oblasti poskytování finančních služeb a pojišťovnictví a narazili jsme na některé problematické body týkající se zpracování osobních údajů zejména v rámci biometrie. V tomto článku se podíváme na dvě další oblasti – IT technologie a zpracování osobních údajů v rámci obcí a státní správy.


IT technologie

V rámci této oblasti se ÚOOÚ věnoval cookies a kamerovému systému. O zpracování osobních údajů při používání cookies jsme informovali již v předchozích číslech, kde jsme rozebírali jednotlivé protokoly z provedených kontrol a leckdy došli k poměrně zajímavým závěrům (jako jsou nevydané tiskové zprávy o zrušení návrhu doporučení k používání cookies a podobně).

Co se druhé oblasti týče, v rámci kontrolního plánu pro rok 2020 si ÚOOÚ stanovil úkol zkontrolovat provozování kamerového systému na fotbalovém stadioně. Kontrolovanou osobou byl prvoligový fotbalový klub, který za účely stanovenými jako „ochrana majetku správce a ochrana života a zdraví osob pohybujících se ve sledovaném prostoru pomocí kamerového systému, určení, výkon nebo obhajoba právních nároků správce, předcházení a odhalování protiprávní činnosti, porušování uděleného zákazu vstupu a porušování návštěvního řádu, doložení výše uvedených závadných jednání subjektu údajů“ provozuje prostřednictvím zpracovatele dva kamerové systémy.

Dlužno dodat, že ani v jednom z nich nedocházelo ke zpracování biometrických osobních údajů a kontrolovaný subjekt plnil všechny povinnosti dle GDPR (včetně provedené DPIA), a kontrola tudíž neodhalila žádný problém, který by správci vytkla.

Obce a státní správa

V rámci této oblasti ÚOOÚ provedl celkem tři kontroly. Pokud nahlédnete do souvislostí, mohlo by vás překvapit, proč ÚOOÚ věnoval pozornost kontrole subjektů státní správy, kterým nelze za stávajícího znění ustanovení § 61 odst. 2, respektive § 62 odst. 5 zákona o zpracování osobních údajů uložit správní trest.

Ačkoliv takové subjekty trestat skutečně nelze, neznamená to, že je nelze kontrolovat a ověřovat, zda splňují všechny povinnosti dle GDPR. V tomto duchu tak lze kvitovat postup ÚOOÚ, že se kontrolám věnuje, neboť každý subjekt údajů má stále potenciální nárok domáhat se náhrady utrpěné újmy dle čl. 82 odst. 1 GDPR. Orgány státní správy by tak neměly rezignovat na svoje povinnosti jen proto, že jim aktuálně není možno uložit sankci. Dlužno dodat, že všechny tři kontroly se týkají obcí, které lze za orgány veřejné moci ve smyslu čl. 83 odst. 7 GDPR považovat bez ohledu na to, v jaké působnosti jednají. To však neznamená, že by se ÚOOÚ nevěnoval i „jiným“ správním orgánům (například oznámení o zahájení kontroly ve věci rezervačního systému na očkování proti covidu-19 a podobně). Nyní už ale k proběhlým kontrolám.

Mobilní rozhlas

Hned první kontrola v této oblasti je poměrně zajímavá, neboť byla zahájena v důsledku ohlášení porušení zabezpečení osobních údajů – důležité je to, že osobou, která ohlášení provedla, byl pověřenec pro ochranu osobních údajů daného města.

Ústředním motivem ohlášení porušení zabezpečení a následné kontroly byl postup starosty, který si vyžádal od ředitele místní základní školy seznam zaměstnanců a zákonných zástupců žáků včetně jejich kontaktních údajů. Těmto osobám pak starosta na vlastní pokyn prostřednictvím importu provedl registraci do aplikace Mobilní rozhlas (tu si běžně subjekt údajů provádí sám registrací a udělením souhlasu se zpracováním osobních údajů), kterou provozuje soukromá společnost. Z textu poskytnutého ÚOOÚ neznáme bližší podrobnosti než to, že vše se událo v době vyhlášeného nouzového stavu v souvislosti s výskytem covidu-19.

ÚOOÚ v daném případě konstatoval několik porušení ustanovení GDPR – od ustanovení týkajících se právních titulů po informování o zpracování osobních údajů a dodržení zásady transparentnosti. Pro nás je však zajímavé to, že ÚOOÚ konstatoval, že předmětný incident nelze považovat za porušení zabezpečení osobních údajů. Úřad k tomu totiž dodal: „Zároveň zjištěný stav týkající se spolupráce mezi kontrolovanou osobou a pověřencem pro ochranu osobních údajů kontrolující vyhodnotili jako stav mající značné rezervy z hlediska nastavení efektivní spolupráce, a hraničící s porušením povinností stanovených čl. 39 obecného nařízení.“

ÚOOÚ k tomu následně v rámci informování veřejnosti poskytl i doplňující informace: „Při výběru a jmenování pověřence pro ochranu osobních údajů dle čl. 37 obecného nařízení je nutno pamatovat nejen na to, aby tento byl jmenován na základě svých profesních kvalit, odborných znalostí práva a praxe v oblasti ochrany osobních údajů, ale také na základě schopnosti plnit úkoly stanovené čl. 39 obecného nařízení. Uvedené však musí být též podpořeno postavením pověřence pro ochranu osobních údajů ve smyslu čl. 38 obecného nařízení a správce či zpracovatel musí zajistit, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.“

Když to převedeme do lidské řeči, můžeme daný text chápat také jako vyčinění správci i jeho DPO za to, že spolu nekomunikují a že DPO pravděpodobně nemá dostatečné kvality k tomu, aby správně vyhodnotil všechny okolnosti týkající se zpracování GDPR, a tím pádem může docházet k porušení GDPR ze strany správce, neboť jím jmenovaný DPO nemusí splňovat podmínky čl. 37 odst. 5 GDPR.

K této kontrole na závěr ještě jednu poznámku – ÚOOÚ v daném případě pravděpodobně posuzoval i možnost využití jiného právního titulu, než je souhlas, a to s přihlédnutím k dané situaci. Ačkoliv neznáme bližší podrobnosti, ÚOOÚ k tomu uvedl následující: „Aplikaci právního titulu ochrany životně důležitých zájmů subjektů údajů nebo jiné fyzické osoby ve smyslu čl. 6 odst. 1 písm. d) obecného nařízení nebylo v tomto případě možné akceptovat.“

Rezervační systém obce

Druhá kontrola v této oblasti se týkala podnětu stěžovatele, jemuž se nelíbil způsob zpracování osobních údajů v rámci rezervačních systémů obce, tedy něco, co ÚOOÚ naposled komentoval ve svém vyjádření zde. Stěžovatel se totiž chtěl objednat na úřad kvůli novému občanskému průkazu, přičemž po kliknutí na odkaz byl přesměrován na internetové stránky soukromého subjektu (který tuto službu poskytuje vícero subjektům) a ty po něm pro provedení registrace bez dalšího bližšího poučení vyžadovaly uvedení osobních údajů.

ÚOOÚ se v rámci dané kontroly neomezil pouze na konstatování porušení zásady transparentnosti, ale i zásady minimalizace (viz zmíněné vyjádření výše). V rámci zpracování osobních údajů obcí se často setkáváme s poměrně zajímavým způsobem informování, a to prostřednictvím pouhého odkazu na záznamy o činnostech zpracování. Subjektu údajů je pak poskytnut pouze odkaz na stránku se všemi záznamy o činnostech zpracování, které bývají často velmi obecné – subjekt údajů v nich musí dále hledat svoji konkrétní situaci. Tato praxe je velmi často kritizována, neboť v takovém případě nelze hovořit o správném poskytnutí informací o zpracování osobních údajů. Můžeme se však jen domnívat, jestli se tak dělo i v tomto případě, každopádně ÚOOÚ k tomu konstatoval, že „poskytnuté informace ve smyslu čl. 13 obecného nařízení jsou natolik zobecněny, že nelze považovat za splněnou zásadu dle čl. 5 odst. 1 písm. a) obecného nařízení ve smyslu transparentnosti, a taktéž uvedené nelze považovat za transparentní poskytnutí informací ve smyslu čl. 12 odst. 1 obecného nařízení“.

Pokud byste si z toho měli vzít ponaučení, mělo by to být zejména to, abyste správně informovali subjekt údajů a plnili svoji povinnost v souladu s Pokyny WP29 k transparentnosti. Nelze se spoléhat jen na to, jak k dané otázce přistupuje dodavatel technologie, neboť jak správně podotýká ÚOOÚ, odpovědnost je vždy na správci.

Městský kamerový systém

Kontrolou provedenou na základě kontrolního plánu prošlo bez ztráty květinky jedno ze sedmadvaceti statutárních měst. Kontrolováno bylo zpracování osobních údajů prostřednictvím kamerových systémů městské policie, jmenovitě městský dohledový systém, dohled nad světelnými křižovatkami, mobilní kamery na klopách strážníků a kamery umístěné ve služebních vozidlech. Mimoto se kontrola věnovala i kamerám, které využívá přímo město za účelem ochrany podzemních garáží, a taktéž kamerovým systémům dvou městských obvodů.

Ani v tomto případě nedošlo ke konstatování žádného porušení, přesto si povšimněte jedné věci, která je poměrně důležitá, ale přesto stále opomíjená a často se v ní chybuje – kdo vlastně může provozovat jaké kamerové systémy? Tomuto tématu jsme se již na stránkách Zpravodaje věnovali, pokud by vás tedy zajímaly podrobnosti, nahlédněte do archivu.

Závěr

Vždy byste měli pamatovat na povinnosti týkající se zejména transparentnosti a správného stanovení zákonného titulu. Jako pověřenci máte také za úkol správně vyhodnocovat situace a postupovat v souladu s nařízením. V dalším díle se můžete těšit na závěry z kontrol, které se týkají prodeje či školství.


Článek vyšel v Elektronickém zpravodaji pro pověřence