Na co se loni zaměřily kontroly z Úřadu pro ochranu osobních údajů? Drobnohledu ÚOOÚ neunikly ani politické strany, nemocnice či reality show. Co si z těchto závěrů můžeme odnést?
ÚOOÚ se v rámci své dozorové činnosti nezaměřuje pouze na oblast podnikání, ale má širší záběr. V prvním pololetí roku 2022 se tak mimo jiné věnoval i činnosti politické strany, kamerovému systému v nemocnici či reality show. V tomto článku si také rozebereme, co se ÚOOÚ nelíbilo na postupu stavebního úřadu v rámci vedení jeho spisové agendy.
Zveřejnění OÚ na sociální síti
V únoru roku 2022 zahájil ÚOOÚ kontrolu (UOOU-00842/22), jež se zabývala zveřejněním adres poslanců na sociálních sítích Facebook a Telemetr.io a také jejich rozesílkou prostřednictvím e-mailu. Kontrola byla zahájena na základě monitoringu médií a stížností na počínání kontrolované osoby.
Kontrola odhalila očekávatelnou absenci právního titulu. ÚOOÚ se nespokojil s často užívaným argumentem – je to v našem oprávněném zájmu. Kontrolovaná osoba pak vůbec neplnila svoje povinnosti v oblasti informování. Samotná kontrola tak proběhla relativně rychle (trvala dva měsíce), přičemž kontrolovaná osoba se vůči kontrolním zjištěním nevymezila a ÚOOÚ tak posunul věc do správního řízení.
Pozor na zveřejňování kontaktních údajů na sociálních sítích bez právního titulu
Reality show
ÚOOÚ obdržel od veřejného ochránce práv žádost o prověření okolností, které se týkaly zpracování osobních údajů při výrobě a vysílání televizního pořadu, respektive reality show. ÚOOÚ tak v dubnu roku 2021 (UOOU-01186/21) zahájil kontrolu zpracování, v rámci nějž účastníci reality show sami a dobrovolně v určeném rozsahu zpřístupňovali osobní údaje. Úřad v rámci kontroly nezjistil porušení GDPR.
Zajímavostí je, že v případě souhlasu s účinkováním v pořadu si kontrolovaná osoba vyžadovala doplňující informace, a to na základě souhlasu, přičemž v případě výběru docházelo k uzavření smlouvy a zpracování osobních údajů na základě nezbytnosti pro splnění smlouvy.
Co se týče samotných smluv, ÚOOÚ uvedl následující: „Sjednané smlouvy deklarují, že subjekty údajů dávají kontrolované osobě svolení se zpracováním osobních údajů s dobou platnosti na 50 let a možností prodloužení na dalších 50 let. Vzhledem k tomu, že zpracování osobních údajů se opírá o čl. 6 odst. 1 písm. b) GDPR, tedy je nezbytné pro plnění smlouvy, nelze kontrolované osobě vytknout porušení zásady omezení uložení ve smyslu čl. 5 odst. 1 písm. e) GDPR.“
Kamery v prostorách nemocnice
Na základě podnětu se ÚOOÚ pustil do kontroly kamerového systému v prostoru kliniky nemocnice (UOOU-02737/21). Samotný kamerový systém sloužil k monitorování vnitřních prostor kliniky a jako takový měl doplňovat podpůrný proces odhalování vzniku nežádoucích stavů pacientů a byl součástí celkové léčby pacienta.
Zajímavé je to, že samotné zpracování mělo probíhat na základě nezbytnosti pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby a jako takové mělo být založeno na principech zákona o zdravotních službách a vyhlášky o zdravotnické dokumentaci.
V rámci zpracování osobních údajů mělo docházet ke zpracování údajů o zdravotním stavu pacientů, tedy zvláštní kategorie osobních údajů, jež je možné zpracovávat pouze na základě splnění dodatečných podmínek. Nemocnice v tomto případě uvedla, že zpracování probíhá na základě čl. 9 odst. 2 písm. i) GDPR, tedy že zpracování údajů o zdravotním stavu je nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie nebo členského státu, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství.
Tento postup nemocnice zdůvodňovala tím, že zpracování je nezbytné z důvodu veřejného zdraví a má sloužit k zajištění přísných norem kvality a bezpečnosti zdravotní péče, léčivých přípravků nebo zdravotnických přípravků. Jak však správně konstatoval ÚOOÚ, samotný zákon o zdravotních službách ve své liteře neobsahuje žádné povinnosti vůči poskytovatelům zdravotní péče, jež by měly spočívat v sledování stavu pacientů prostřednictvím videokamer. ÚOOÚ navíc zjistil, že za posledních 10 let nebylo do kamerových záznamů ani jednou nahlíženo.
Zákon o zdravotních službách neopravňuje k sledování pacientů pomocí kamer
ÚOOÚ tak konstatoval, že právní titul dle čl. 6 odst. 1 písm. c) kontrolované osobě nesvědčí. Na závěr své zprávy pak ÚOOÚ uvedl následující doplňující informace: „Je nutno zdůraznit, že konstatované porušení povinnosti dané čl. 6 odst. 1 GDPR (zákonnost zpracování) se vztahuje ke konkrétně deklarovaným účelům a skutečnostem zjištěným při kontrole. V teoretické rovině by kamerový monitorovací systém ve vnitřních prostorách mohl být provozován v souladu s čl. 6 odst. 1 písm. f) GDPR (oprávněný zájem správce nebo třetích stran). Muselo by však být správcem osobních údajů prokázáno, že pro konkrétní účely má oprávněný zájem přednost před zájmy nebo základními právy a svobodami subjektu údajů.“
Kromě toho kontrolovaná osoba provozovala vnější kamerový systém, a to na základě oprávněného zájmu, v rámci něhož však ÚOOÚ neshledal pochybení. Dílčí nálezy zjistil v rámci plnění informační povinnosti a celkově dodržování zásady transparentnosti, nicméně dle slov ÚOOÚ nedosahovaly takové intenzity, že by bylo možno konstatovat porušení povinností.
Kontrola systému EURODAC
Na základě kontrolního plánu a zákonné povinnosti vyplývající z nařízení EU, provedl ÚOOÚ kontrolu (UOOU-02692/21) zpracování osobních údajů v systému EURODAC, jenž slouží jako systém pro srovnání otisků prstů žadatelů o azyl a některých kategorií ilegálních přistěhovalců. ÚOOÚ provedl tři místní šetření povinných orgánů, přičemž v rámci této kontroly odhalil pouze drobná pochybení, která však byla již v průběhu kontroly odstraněna, respektive bylo zahájeno jejich odstranění, přičemž kontrolní protokol zůstal bez námitek.
Ztráta spisu stavebního úřadu
Nepříjemnou situací se ÚOOÚ zabýval na základě stížnosti směřované proti stavebnímu úřadu. Kontrole (UOOU-01713/21) předcházela stížnost stěžovatelky, která v průběhu řízení o dodatečném povolení stavby a o potvrzení existence stavby zjistila, že stavební úřad ztratil spis, který se týkal předmětné věci.
Sám ÚOOÚ provedl místní šetření, při němž zjistil, že nešlo o systémovou chybu. To měl ÚOOÚ zjistit tak, že zkontroloval interní dokumentaci a nechal si předvést používání konkrétního softwaru v rámci dané agendy. Co se však ÚOOÚ nelíbilo, byl fakt, že stavební úřad (respektive kontrolovaná obec, neboť stavební úřad nemá v kontextu GDPR vlastní právní subjektivitu) nezadokumentoval předmětný případ jako porušení zabezpečení osobních údajů dle čl. 33 GDPR a nenahlásil jej ÚOOÚ. Obec totiž nevyhodnotila předmětný případ jako porušení zabezpečení, jež by mělo mít za následek riziko pro práva subjektu údajů. S tím však ÚOOÚ nesouhlasil a uvedl, že „ani v době kontroly nebylo zřejmé, zda je spis skartován, ztracen v rámci budovy (například přiřazením k jinému spisu) či došlo k manipulaci se spisem neoprávněnou osobou, která by jej stále mohla mít v držení. Ztráta spisu, který obsahuje též osobní údaje, může v takovém případě nepochybně vést k riziku pro práva a svobody fyzických osob.“
Ve vztahu k samotnému ohlašování případů porušení uvedl ÚOOÚ doplňující informace: „Ohlašování případů porušení zabezpečení osobních údajů podléhá ohlašovací povinnosti dle čl. 33 GDPR (ohlášení Úřadu), případně též dle čl. 34 GDPR (ohlášení subjektu údajů). Pro ohlašovací povinnost je rozhodné riziko pro práva a svobody fyzických osob:
Pokud je nepravděpodobné, že by porušení zabezpečení mělo za následek riziko pro práva a svobody fyzických osob – správce případ porušení zabezpečení zadokumentuje dle čl. 33 odst. 5 GDPR, ohlášení Úřadu nebo subjektu údajů neprovádí.
Pokud je pravděpodobné, že porušení zabezpečení bude mít za následek riziko pro práva a svobody fyzických osob – správce případ porušení zabezpečení zadokumentuje dle čl. 33 odst. 5 GDPR a provede ohlášení Úřadu dle čl. 33 odst. 1, 3 a 4 GDPR.
Pokud je pravděpodobné, že porušení zabezpečení bude mít za následek vysoké riziko pro práva a svobody fyzických osob – správce případ porušení zabezpečení zadokumentuje dle čl. 33 odst. 5 GDPR, provede ohlášení Úřadu dle čl. 33 odst. 1, 3 a 4 GDPR a nadto provede ohlášení subjektu údajů dle čl. 34 GDPR.
GDPR počítá s tím, že veškeré informace, které mají být ohlášeny dozorovému úřadu (čl. 33 odst. 3 GDPR), nemusí mít správce okamžitě k dispozici (ohlášení musí být provedeno bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm správce dozvěděl). V takovém případě lze učinit prvotní ohlášení ve stanovené lhůtě a informace postupně doplňovat bez dalšího odkladu (čl. 33 odst. 4 GDPR), jakmile je správce bude mít k dispozici na základě svého dalšího šetření.“
Jaké oblasti unikly kontrolám?
Vypadá to, že ÚOOÚ v prvním pololetí roku 2022 v rámci kontroly soukromého segmentu neřešil HR agendu a pomálu se věnoval i kontrole kamerových systémů. Nyní si musíme počkat na závěry i z druhé poloviny roku 2022, abychom zjistili, jak se ÚOOÚ podařilo naplnit svůj kontrolní plán pro rok 2022 a jaké kontroly provedl.
Kommentare