Závěry z kontrol ÚOOÚ vysílají všem společnostem jasnou zprávu: kontroly jsou do hloubky. Interní dokumentace, doložení posouzení nezbytnosti, zpracování zabezpečení, to všechno musíte mít v pořádku.
V polovině roku ÚOOÚ vždy uveřejňuje závěry z kontrol za první pololetí daného roku. Ačkoli se vždy nejedná o ukončené věci a nemůžeme vše vnímat jako bernou minci, veškeré naše úsilí směřuje právě k tomu, aby v případě kontroly ze strany ÚOOÚ vše proběhlo hladce.
Obsahově je toto téma tak rozsáhlé, že není možno jej popsat v jednom článku. Můžete se tak těšit na podrobnější články v dalších číslech, zejména co se týče kontrol cookies. Díky žádosti „dle 106“ máme k dispozici stovky stran kontrolních protokolů z celkem osmi kontrol. To platí i pro druhou sféru kontrolovaných činností – zasílání obchodních sdělení.
CO ÚOOÚ KONTROLOVAL: • Finanční služby a pojišťovnictví • IT technologie • Obce a státní správu • Prodej zboží a služeb • Školství • Zaměstnavatele • Zdravotnictví • Ostatní
Finanční služby a pojišťovnictví
V této oblasti řešil ÚOOÚ jediný případ. Týkal se podnětu proti neoprávněnému zpracování osobních údajů v rámci nebankovního registru klientských informací. Stížnost směřovala proti zpracování osobních údajů v registru NRKI po ukončení leasingové smlouvy. Samotné kontrolní řízení bylo přerušeno, neboť ÚOOÚ čeká, jak dopadne řízení před ústavním soudem. Ustanovení spotřebitelského zákona, které se týká informační databáze o bonitě a důvěryhodnosti spotřebitele, bylo napadeno „ze dvou stran“, a to jak v rámci řízení před soudem, tak i v rámci návrhu na zrušení, který byl podán sedmnácti senátory.
Co v zásadě senátorům vadilo, je to, že sběr osobních údajů není v souladu s testem proporcionality. Ústavní soud se tak bude muset zabývat otázkou, nakolik je vhodné, aby zákon bez souhlasu spotřebitele umožňoval sběr jeho osobních údajů a sdílení těchto údajů se subjekty, s nimiž spotřebitel ani nemusel přijít do obchodního vztahu.
IT technologie
V této oblasti se ÚOOÚ zaměřil na dvě oblasti – cookies (těm se budeme věnovat v dalších číslech) a zpracování otisků prstů při vstupech do kasina. V druhé oblasti totiž proběhly dvě kontroly, a to na základě kontrolního plánu pro rok 2019 a podnětu Generálního ředitelství cel, které v rámci dozoru nad kasiny zjistilo, že při registraci hráčů některá z nich požadují otisk prstu, který dále slouží jako registrační a přístupové údaje. V tomto případě mělo jít o jedinou možnost, jak hráče registrovat. ÚOOÚ však neshledal žádné porušení, neboť první kontrolovaná osoba nemá povolení k provozování hazardní her a tuto činnost ani nevykonává – s ohledem na to tak nedochází ani k předmětnému zpracování osobních údajů.
V druhém případě kasino umožňovalo registraci prostřednictvím otisku, face-id společně s účastnickou kartou nebo účastnickou kartou a občanským průkazem. ÚOOÚ však nezjistil žádné porušení, neboť kontrolovaný předložil souhlasy se zpracováním biometrických údajů, které dle ÚOOÚ odpovídali GDPR. Úřad se spokojil s tím, že jak otisk prstu, tak i otisk obličeje jsou šifrovány a ukládají se jako hash. Kontrolovaný subjekt navíc disponoval posouzením, že při případném úniku hashe nedochází k významnému riziku.
Proč se ÚOOÚ věnoval této oblasti, je nasnadě. Otisk prstu, který slouží k identifikaci subjektu údajů, patří do zvláštní kategorie osobních údajů jako biometrický údaj, na jehož zpracování GDPR klade vyšší nároky.
Již v minulosti se ÚOOÚ věnoval užití technologií, jako je face ID či používání hlasové biometrie za účelem ověření klienta. Právě v případě hlasové identifikace volajícího, jak ÚOOÚ v rámci informování o kontrole České spořitelny na svém webu uvedl, je „použití biometrického systému za účelem ověření identity zákazníka přitom obecně možné pouze na základě výslovného souhlasu tohoto zákazníka“. S obecnou platností tohoto závěru se ne vždy lze úplně ztotožnit, je však nutno s ním počítat, a v případě, že takový systém využíváme v situacích, kdy souhlas není možný (zejména s ohledem na nezbytnost pro určení, výkon nebo obhajobu právních nároků), je třeba disponovat přesvědčivým odůvodněním. To platí i pro obecný požadavek ÚOOÚ, aby tyto technologie byly nasazovány jen v případech, kdy skutečně není jiné cesty (tzn. test proporcionality a zásada minimalizace).
Obce a státní správa
V této oblasti ukončil ÚOOÚ jedinou kontrolu. Ta se týkala zpracování osobních údajů soudním exekutorem. ÚOOÚ totiž obdržel dva podněty (jeden se týkal události, která byla datována do roku 2012) ve věci chybného výběru adresáta datové zprávy při zasálání oficiálních dokumentů. Dlužno dodat, že se jednalo o již jednou kontrolovaný subjekt.
Lze se poměrně jednoduše vžít do situace osob, které zasílaly podněty, neboť představa, že informace o vaší exekuci (přes Centrální registr exekucí) bude zaslána někomu jinému, je poměrně děsivá. ÚOOÚ tak zahájil kontrolu povinností při zabezpečení před neoprávněným zpřístupněním třetí osobě.
Nad rámec informací zjištěných v této kontrole si ÚOOÚ dovolil uvést doplňující informaci pro všechny správce a zpracovatele, aby implementovali a nastavili mechanismus pravidelného vyhodnocování, který zajistí kontrolu a eliminaci chyb lidského faktoru jednot-livců. Pochybení v této konkrétní věci ÚOOÚ shledal v tom, že „interní systém zpracovávající osobní údaje klientů vykazoval systémovou chybu při výběru datové schránky obesílaného“. ÚOOÚ se v tomto bodě spokojil s tím, že byla přijata technicko-organizační opatření, která měla těmto chybám zabránit.
Závěr
Ačkoli se může zdát, že závěry z výše popsaných kontrol nepřináší nic nového, opak je pravdou. ÚOOÚ totiž neprováděl kontrolu po povrchu, ale zajímal se o to, proč jsou údaje daným způsobem zpracovávány a jak je provedeno jejich zabezpečení. ÚOOÚ se zajímal o interní dokumentaci, doložení posouzení nezbytnosti zpracování a komplexního zabezpečení, včetně implementace organizačně-technických opatření. GDPR totiž není jen o hezkém informačním dokumentu na webu, ale i o koncepcích zpracování a posouzení jeho nezbytnosti, včetně odůvodnění postupu správce. V dalších číslech se dozvíte, na kolik by vás vyšlo ignorování komunikace ze strany ÚOOÚ nebo jaká doba uchování údajů zákazníků je pro ÚOOÚ ještě akceptovatelná.
Článek byl publikován dne 22. 7. 2020 v Elektronickém zpravodaji pro pověřence