• Josef Bátrla

Pověřenci ve státním sektoru pod lupou ÚOOÚ

V rámci kontrol za minulý rok ÚOOÚ nevynechal ani státní sektor. Zaměřil se hlavně na postavení pověřence pro ochranu osobních údajů na ministerstvu, ale i na elektronické úřední desky. Co mu nejvíce vadilo?



Zlí jazykové tvrdí, že závěry z kontrol ÚOOÚ ve státním sektoru nezajímají ani samotný státní sektor. Tato slovní hříčka se zakládá na faktu, že orgánům státní moci v případech, kdy Úřad odhalí nějaké pochybení, nehrozí žádné peněžní sankce. Bylo by však chybou kvůli tomu tyto kontroly přehlížet – v minulém roce totiž ÚOOÚ ťal do živého a opřel se právě do fungování pověřence na ochranu osobních údajů v rámci ministerstva. Kromě toho se ÚOOÚ zabýval i zveřejňováním osobních údajů v rámci elektronické úřední desky.


Funkce pověřence ve státní správě


ÚOOÚ si v předminulém kontrolním plánu předsevzal, že zkontroluje, jak blíže neurčené ministerstvo zpracovává osobní údaje svých zaměstnanců. V rámci dané kontroly (UOOU-04097/20) Úřad prošel celkem dvacet jedna informačních a komunikačních systémů, respektive aplikací, které toto ministerstvo využívá. Během této kontroly se ÚOOÚ nevěnoval pouze samotnému ministerstvu, ale metodou domina ho zajímala i činnost předmětných zpracovatelů.


Úřad v zásadě nepřišel na žádné pochybení. Konkrétně vyhodnotil, že předmětné ministerstvo dodržuje veškeré povinnosti z pohledu informační povinnosti (čl. 13 GDPR) i co se týče výkonu práv subjektů údajů (čl. 15 až 21 GDPR). Jediné „formální nedostatky“ byly dle slov ÚOOÚ zjištěny v rámci zabezpečení zpracování osobních údajů. Jmenovitě Úřad uvádí formální neaktuálnosti v některých interních předpisech. Tyto nedostatky však údajně nedosahovaly úrovně neplnění stanovených povinností vztahujících se k zabezpečení. Vady formálního charakteru ÚOOÚ odhalil u vedení záznamů o činnostech zpracování, ale ani to v rámci zprávy z dané kontroly nehrálo žádnou větší roli.


Co tedy ÚOOÚ vadilo nejvíce? Byly to otázky spojené s aktivitou a fungováním pověřence. Zde se opakuje velmi častý motiv, se kterým se lze setkat u některých státních orgánů či obcí. Tyto subjekty totiž sice často jmenují pověřence, nicméně tak činí jen velmi formálně bez motivace svoji zákonnou povinnost splnit.

Úřad upozorňuje, že pouze formální jmenování pověřence nestačí

Pokud bychom mohli zhodnotit dosavadní kontrolní zjištění ÚOOÚ v rámci pověřenců, má Úřad problém obvykle se dvěma věcmi. Za prvé s tím, že je pověřencem osoba, která by jím být neměla (neboť pro to nemá dostatečné profesní kvality, respektive odborné znalosti práva a praxi v oblasti ochrany údajů). Za druhé s tím, že pověřenec není dostatečně zapojen do interních procesů týkajících se ochrany osobních údajů, a tím pádem neplní svoje úkoly.


A přesně to ÚOOÚ vytýká i ministerstvu. Zjistil totiž, že pověřenec nebyl nijak zapojen do plnění povinností vztahujících se k zabezpečení osobních údajů ani do realizace práv subjektů údajů. ÚOOÚ napsal, že pověřenec nedostával informace, které jsou pro výkon této funkce nezbytné (například auditní zprávy). Pro pověřence dále nebyly vytvořeny ani podmínky pro plnění jeho úkolů, což souviselo zejména s časovými možnostmi – zde ÚOOÚ vytýká, že mu byly kromě plnění úkolů pověřence systematicky ukládány další úkoly s touto funkcí nesouvisející a nebyla mu poskytnuta dostatečná personální kapacita.


ÚOOÚ k tomu dodal následující: „Kontrola v návaznosti na zjištěné skutečnosti konstatovala, že kontrolovaná osoba porušila povinnost podle čl. 38 odst. 1 obecného nařízení tím, že nezajistila, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů zaměstnanců. Porušila též povinnost dle čl. 38 odst. 2 obecného nařízení tím, že pověřenci pro ochranu osobních údajů neposkytla zdroje nezbytné k plnění jeho úkolů, jakož i k přístupu k osobním údajům a operacím zpracování.“


Sám ÚOOÚ k tomu nad rámec kontrolního závěru doplnil i další informace: „Pověřenci pro ochranu osobních údajů jsou zněním čl. 39 obecného nařízení uloženy úkoly, které má vykonávat. Aby však pověřenec mohl svěřené úkoly plnit, je nezbytné, aby správce osobních údajů zajistil náležité a včasné zapojení pověřence do veškerých záležitostí souvisejících s ochranou osobních údajů a aby mu poskytl zdroje, které potřebuje k plnění stanovených úkolů a taktéž k udržování svých odborných znalostí.“


Elektronická úřední deska


Druhá kontrola v oblasti státní správy byla zaměřena na zveřejňování osobních údajů prostřednictvím úřední desky, včetně té elektronické, a na způsob vyvěšování a svěšování dokumentů ve vztahu k ochraně osobních údajů. Samotná kontrola byla zahájena na základě kontrolního plánu pro rok 2021, kontrolovaná byla jedna z městských částí Prahy. Kontrolory nejvíce zajímalo zveřejňování informací prostřednictvím dálkového přístupu, protože skýtá více rizik než klasická úřední deska (UOOU-00808/21).


ÚOOÚ se zaměřil na několik typů dokumentů, které se na úřední desku vyvěšují: od doručování veřejnou vyhláškou po různá rozhodnutí městské části, včetně dražebních vyhlášek, smluv a výzev k vyjádření se k podaným opravným prostředkům.


V daném případě kontrola nepřišla na žádné pochybení, a to ani z pohledu právního titulu zásady minimalizace, ani porušení zabezpečení. V konečném důsledku totiž ÚOOÚ zajímal i způsob anonymizace osobních údajů, právní tituly pro vyvěšování a svěšování, profilování údajů získaných v rámci takzvaného monitorování úředních desek, doba vyvěšení dokumentů a archivace údajů včetně přístupu k nim.


Osoba pověřence pro ochranu osobních údajů byla jmenována (a řádně oznámena) ÚOOÚ v souladu s GDPR, přičemž její postavení, včetně pravomocí a odpovědností, bylo pečlivě upraveno v rámci interní dokumentace. Předmětná kontrola tak pouze ověřila fakt, že zveřejňování případných osobních údajů v rámci elektronické úřední desky probíhá v souladu s GDPR.


Jak má vypadat funkce pověřence?


Pouze formální jmenování pověřence nestačí. ÚOOÚ se totiž zajímá i o to, jak daný pověřenec v rámci organizace funguje, jaké je jeho postavení a zda plní nejen svoje úkoly, ale také o to, jestli mu správce pro plnění těchto úkolů vytvořil dostatečné zázemí. Pokud má pověřenec povinnost monitorovat soulad zpracování s GDPR a přispívat tak ke zvýšení úrovně ochrany osobních údajů v rámci organizace, je nutné, aby za ním byla skutečně vidět práce, respektive plody plnění jeho úkolů v rámci dané organizace.


Pověřenec by měl mít připravené podmínky nejen pro to, aby mohl plnit své úkoly, ale aby mohl také udržovat své odborné znalosti, včetně sledování aktuálního stavu, rozhodovací praxe a novinek v oblasti ochrany osobních údajů.


Článek byl publikován v Elektronickém zpravodaji pro pověřence