Na co si subjekty údajů nejčastěji stěžují u ÚOOÚ? Zdaleka nejde jen o nechtěnou reklamu! Kopírování dokladů, vystavování údajů na nástěnce, využití údajů z katastru nemovitostí či nevyřízení práva na výmaz – jak Úřad posuzuje konkrétní stížnosti?
V tomto článku se podíváme blíže na některé činnosti Úřadu pro ochranu osobních údajů, o kterých informoval v rámci své výroční zprávy za rok 2023. Zaměříme se na konkrétní oblasti, na něž dle ÚOOÚ směřuje nejvíce stížností a podnětů.
V jednom z minulých článků jsme už zmínili, na co konkrétně je statisticky podáváno nejvíce stížností. ÚOOÚ informoval o tom, že zpracování osobních údajů v rámci HR agendy tvoří 2 % celkových oznámení vůči ÚOOÚ a pouze procento stížností a podnětů se týká cookies. Stížnosti na výkon práv subjektů údajů pak tvoří celkem 6 % podání vůči ÚOOÚ, přičemž do této statistiky se nepočítá právo na informace dle čl. 13 a 14 GDPR, které má ve statistice vlastní kategorii s 9 %. Kamerové systémy byly předmětem celkem 11 % veškerých podání vůči ÚOOÚ. Více už zabírá pouze zveřejnění či zpřístupnění osobních údajů s 16 % a vítězem je – ostatně jako vždy – zpracování údajů pro marketingové účely s 22 %.
Co se týče konkrétních témat, ÚOOÚ se věnuje i jiným oblastem a rozhodl se o nich informovat. Pojďme se na ně podívat tedy detailněji.
Seznam držitelů datových schránek
Na začátku roku 2023 bylo povinně zřízeno mnoho datových schránek pro podnikající fyzické osoby, což vedlo ke zvýšenému počtu stížností adresovaných právě ÚOOÚ. Stížnosti se totiž týkaly zveřejnění osobních údajů ve veřejném seznamu držitelů datových schránek, přičemž stěžovatelé často žádali o výmaz svých údajů z tohoto seznamu. Seznamy datových schránek fyzických osob a podnikajících fyzických osob byly zveřejněny nejen prostřednictvím formuláře na webových stránkách www.mojedatovaschranka.cz, ale také jako součást systému takzvaných otevřených dat. Tyto seznamy byly dostupné ve formátu umožňujícím neomezené stahování a kopírování, což znamenalo, že kdokoliv mohl zjistit adresu trvalého pobytu fyzické osoby, aniž by jí měl v úmyslu poslat datovou zprávu.
ÚOOÚ v reakci na množství stížností upozornil Ministerstvo vnitra, správce systému datových schránek, na nutnost dodržování zásad zpracování osobních údajů podle obecného nařízení GDPR. To vedlo k odstranění seznamu nepodnikajících fyzických osob ze systému otevřených dat. Agendu datových schránek převzala od 1. dubna 2023 Digitální a informační agentura (DIA), která okamžitě zahájila kroky k odstranění těchto seznamů z veřejných zdrojů. Novela zákona č. 300/2008 Sb., účinná od 1. února 2024, pak přinesla změnu z opt-out na opt-in princip. Namísto automatického zápisu a nutnosti žádat o výmaz nyní musejí fyzické a podnikající fyzické osoby aktivně požádat o zápis na seznam.
Pozor na zápisy z jednání obcí, které také obsahují osobní údaje
Zpracování osobních údajů obcemi
Dle ÚOOÚ další podstatná část stížností směřovala v roce 2023 proti obcím a týkala se zveřejňování osobních údajů občanů na webových stránkách obcí. Obce často zveřejňovaly osobní údaje žadatelů podle zákona o svobodném přístupu k informacím. Další stížnosti se pak měly týkat případů, kdy obec zveřejnila dokumenty bez řádné anonymizace, což umožnilo zpřístupnění citlivých informací.
Opakovaně také ÚOOÚ dostával stížnosti na jednání zastupitelů, kteří nahrávali schůze zastupitelstva a zveřejňovali záznamy na sociálních sítích nebo webových stránkách. Takové jednání bylo považováno za zpracování osobních údajů pro novinářské účely a muselo být v souladu s GDPR a zákonem č. 110/2019 Sb. Zastupitelé, kteří zveřejňovali záznamy, se stali správci osobních údajů a museli před zveřejněním zajistit důkladnou anonymizaci údajů nesouvisejících s veřejným zájmem. ÚOOÚ při těchto případech hlásil možné porušení GDPR a vyzýval k nápravě. Většina správců po upozornění pochybení napravila. ÚOOÚ také informoval stěžovatele o právu na náhradu nemajetkové újmy soudní cestou.
Dle zákona je zakázáno pořizovat kopie občanského průkazu bez souhlasu
Bankovní instituce vs. OÚ
Dle výroční zprávy se ÚOOÚ stále setkává s podáními týkajícími se kopírování občanských průkazů bankovními institucemi (k ostatním případům viz níže). Tato praxe souvisí s AML zákonem, který bankám ukládá povinnost identifikovat klienty a provádět jejich kontrolu. Tato povinnost zahrnuje i oprávnění kopírovat doklady totožnosti klientů. Tento problém byl předmětem jednání mezi ÚOOÚ a Finančním analytickým úřadem. Úřad poskytl připomínky k interpretaci obecného nařízení GDPR v kontextu AML zákona. Na základě těchto připomínek Finanční analytický úřad zveřejnil aktualizovaný metodický pokyn.
Nově se ale ÚOOÚ také setkává se stížnostmi na sledování mobilních zařízení v souvislosti s instalací mobilního bankovnictví. Bankovní instituce jsou povinny zavést transakční monitoring schopný identifikovat známky napadení malwarem nebo vést záznamy o použití softwaru pro přístup. Tento monitoring je nezbytný pro zajištění bezpečnosti plateb.
ÚOOÚ zjistil pochybení pouze v jednom případě, kdy informace poskytnuté bankou byly zavádějící a neúplné. Po upozornění banka obsah informací upravila.
Pořizování kopií dokladu totožnosti
Dle ÚOOÚ v poslední době narůstá počet stížností také na nebankovní subjekty, které požadují zaslání kopie dokladu totožnosti elektronickou cestou (například sken nebo fotografie). To se má týkat hlavně služeb, které vyžadují ověření totožnosti, jako je online odbavení cestujících, nákup na e-shopu, získání brigády přes aplikace, registrace do služeb sdílení vozidel, objednání služeb mobilních operátorů nebo přístup k osobním údajům u nebankovních registrů klientských informací.
Podle zákona č. 269/2021 Sb., o občanských průkazech, je zakázáno pořizovat kopie občanského průkazu bez souhlasu držitele. I když držitel souhlas udělí, je nutné dodržovat zásady zpracování osobních údajů podle GDPR, především zásadu minimalizace. Osobní údaje musejí být přiměřené, relevantní a omezené na nezbytný rozsah pro daný účel.
ÚOOÚ tak zopakoval, že správci osobních údajů by měli používat šablony, které zakryjí nadbytečné údaje, a zajistit, aby na částečných kopiích nebyly strojově čitelné údaje. Tato praxe by měla být aplikována i na další doklady totožnosti, jako jsou pasy nebo řidičské průkazy. K pořízení redukované kopie není potřeba souhlas držitele, neboť se nejedná o plnohodnotnou kopii podle zákona o občanských průkazech.
Zveřejňování OÚ za novinářským účelem
ÚOOÚ se v roce 2023 zabýval i podáními týkajícími se zpracování osobních údajů pro novinářské účely. ÚOOÚ posuzuje, zda zpracování osobních údajů slouží přiměřeným způsobem novinářským účelům. V jednom případě ÚOOÚ řešil stížnost týkající se zveřejnění intimních fotografií ženy mediálním domem. Fotografie byla použita jako ilustrace k článku, kde by postačovalo zveřejnění anonymizované fotografie. Zveřejnění tváře ženy, která původně fotografie zpřístupnila jen určité skupině osob, nebylo přiměřené novinářskému účelu. Stížnost je nadále předmětem šetření úřadu.
Vyhledávače a jiné platformy
Úřad obdržel také stížnosti na provozovatele internetových vyhledávačů, které vyžadovaly telefonní číslo uživatelů pro zvýšení zabezpečení účtů. Tento postup byl odůvodněn potřebou ověření identity a minimalizace falešných účtů. Ke zpracování osobních údajů docházelo na základě smluvního vztahu mezi uživatelem a provozovatelem vyhledávače, což bylo posouzeno jako legitimní. V žádném z těchto případů dle ÚOOÚ nebylo shledáno pochybení správce osobních údajů, neboť zpracování mělo být v souladu se smluvními podmínkami a zákonnými požadavky.
Obchodní sdělení zasílaná poštou
Podstatnou část stížností, které ÚOOÚ podle svých slov řeší, tvoří podání týkající se obchodních sdělení zasílaných poštou. Právním důvodem pro zpracování osobních údajů může být oprávněný zájem správce osobních údajů (na poštu totiž nedopadá zákon č. 480/2004 tak jako na e-mail). Tento oprávněný zájem však musí dle ÚOOÚ být vyvážen s ohledem na základní práva a svobody subjektů údajů.
Oprávněný zájem správce se totiž odvíjí od toho, zda může subjekt údajů s ohledem na činnost správce důvodně očekávat marketingovou nabídku. Při uplatnění tohoto právního důvodu musí správce osobních údajů pečlivě porovnat své zájmy s právy a svobodami subjektů údajů.
Správci osobních údajů však často nereagují náležitým způsobem na žádosti subjektů o přístup k osobním údajům, vznesení námitek či žádosti o výmaz údajů. ÚOOÚ v takových případech obvykle správce upozorní na pochybení, avšak pokud správci své postupy neupraví, ÚOOÚ může využít svých dozorových pravomocí a přistoupit k dalším krokům.
Využití OÚ z katastru nemovitostí
V roce 2023 se Úřad pro ochranu osobních údajů setkal s množstvím stížností týkajících se využití osobních údajů realitními společnostmi a makléři. Tito správci osobních údajů často neposkytují vlastníkům nemovitostí potřebné informace o zpracování jejich osobních údajů. Nabídky na odkup nemovitostí či podílů jsou často rozesílány hromadně a opakovaně, přičemž cenové nabídky mohou být výrazně nižší než skutečná hodnota nemovitostí, což vyvolává tlak na vlastníky.
Příklad jedné z nabídek zněl dle ÚOOÚ například takto: „Na lesy napadené kůrovcem se vztahuje zákonná povinnost […], kterou musí majitelé plnit bez rozdílu a pod hrozbou pokuty. Váš podíl na lese odebereme za odpovídající částku. Převezmeme za Vás veškeré zákonné povinnosti. Zbavíte se tak starostí spjatých s vlastnictvím tohoto pozemku.“
Takové využití osobních údajů z veřejného rejstříku často vzbuzuje pohoršení nebo obavy ze ztráty majetku. Pravomoc ÚOOÚ v této oblasti je však omezena zvláštní úpravou katastrálního zákona (zákon č. 256/2013 Sb.), který definuje přípustné účely využití údajů z katastru nemovitostí. Příslušnými k vedení řízení o přestupcích jsou katastrální úřady, které určují, že cílené oslovování vlastníků s nabídkami není v rozporu se zákonem. ÚOOÚ však posuzuje, zda správci osobních údajů plní řádně informační povinnost a reagují na žádosti subjektů údajů. V tomto rozsahu také prověřuje zaslané stížnosti.
Výkon práv subjektu údajů
ÚOOÚ se dále často zabýval stížnostmi týkajícími se neposkytnutí odpovědí správců osobních údajů na žádosti subjektů údajů o výkon práv podle obecného nařízení GDPR. Dalším častým problémem bylo nerespektování práva na výmaz osobních údajů, i když správci už žádosti vyhověli, typicky pro marketingové účely.
V těchto případech ÚOOÚ upozorňoval správce na jejich povinnosti a vyžádal si informace k prováděnému zpracování osobních údajů. Z odpovědí často vyplynulo, že správci chybně nevyhodnotili obdržené podání jako žádost o výkon práv podle GDPR, kterou jsou povinni vyřídit do jednoho měsíce.
Ve druhém typu situací, kdy správci nerespektovali právo na výmaz osobních údajů, bylo častým pochybením nevyřízení žádosti řádně, tedy neprovedení výmazu ze všech existujících databází, které spravují. Správci osobních údajů musejí dbát na řádné plnění svých povinností, aby nedocházelo k porušení práv subjektů údajů a následným stížnostem.
DŮLEŽITÉ BODY K VÝKONU PRÁV SUBJEKTŮ ÚDAJŮ PRO SPRÁVCE OSOBNÍCH ÚDAJŮ: 1. Včasné vyřízení žádostí: Správci musejí vyřídit žádosti subjektů údajů do jednoho měsíce. 2. Řádné posouzení žádostí: Je důležité správně identifikovat žádosti o výkon práv podle GDPR. 3. Plný výmaz údajů: Při žádosti o výmaz musejí být osobní údaje odstraněny ze všech databází. |
Kamerové systémy
ÚOOÚ se každoročně setkává se stovkami stížností týkajících se zpracování osobních údajů prostřednictvím kamerových systémů, dveřních digitálních kukátek nebo fotopastí. Tyto stížnosti často souvisejí s dlouhodobými sousedskými či rodinnými spory nebo jsou podávány fyzickými či právnickými osobami za účelem ochrany majetku, bezpečnosti a zdraví.
ÚOOÚ v této oblasti zopakoval, že má omezené možnosti řešit stížnosti na kamerové systémy provozované fyzickou osobou z obydlí, protože jeho dozorové kompetence neumožňují kontrolovat obydlí, která nejsou užívána k podnikatelské nebo jiné hospodářské činnosti.
V těchto případech ÚOOÚ informuje provozovatele kamerového systému o jejich povinnostech jako správce osobních údajů (což je trochu paradoxní) a podatele o možnosti řešit věc podáním podnětu na zahájení přestupkového řízení proti občanskému soužití nebo prostřednictvím občanskoprávní žaloby na ochranu osobnosti.
ÚOOÚ totiž může uplatnit své dozorové a nápravné pravomoci pouze v případech, kdy dojde k nevhodnému zveřejnění nebo jinému zneužití kamerových záznamů obsahujících osobní údaje identifikovatelných osob. Takové stížnosti však představují dle ÚOOÚ jen malý zlomek všech podání týkajících se kamerových systémů.
Vymáhání pohledávek
V oblasti zpracování osobních údajů týkající se vymáhání pohledávek se ÚOOÚ často setkává se stížnostmi podanými dlužníky. Tyto stížnosti se týkají předání jejich osobních údajů inkasním společnostem, které následně údaje využívají pro kontaktování dlužníků. Tento postup je však legitimní, protože inkasní společnost působí jako zpracovatel osobních údajů na základě smlouvy uzavřené se správcem osobních údajů, tedy věřitelem.
Další časté stížnosti se týkají předání osobních údajů při postoupení pohledávky. I toto zpracování je oprávněné a vychází z právní úpravy institutu postoupení pohledávky podle občanského zákoníku.
Společenství vlastníků a bytová družstva
Stížnosti na správce osobních údajů ze strany společenství vlastníků jednotek a bytových družstev jsou dle ÚOOÚ časté. Tito správci často neplní své informační povinnosti vůči fyzickým osobám, jejichž údaje zpracovávají, a nevyřizují žádosti subjektů údajů o výkon jejich práv podle GDPR. Běžně dochází k nezákonnému zveřejňování osobních údajů na nástěnkách v domech nebo jejich zpřístupňování dalším členům v rámci internetových aplikací. Vzhledem k tomu, že ve vedení těchto společenství často působí osoby, které se ochranou osobních údajů nezabývají, ÚOOÚ v těchto případech preferuje upozornění správce na pochybení a vysvětlení jeho povinností podle GDPR. Obvykle po tomto upozornění správci svá pochybení napraví a přijmou příslušná opatření.
Comments