V minulém čísle jsme se věnovali závěrům z kontrolní činnosti ÚOOÚ v oblasti státní správy, IT technologií a finančních služeb. Dnes si posvítíme na to, co kontroly odhalily v dalších odvětvích – školství, prodeji a zaměstnávání. Pojďme rovnou zjistit, co se ÚOOÚ nelíbilo u prodeje zboží a služeb či kde chybovaly vysoké školy.
Prodej zboží a služeb
V této oblasti ÚOOÚ provedl kontroly celkem tři. První kontrola se týkala„zvláštního“ předávání osobních údajů mezi obchodními společnostmi. ÚOOÚ se věcí zabýval na základě stížnosti proti e-shopu, který na faktuře uváděl jinou osobu-prodejce, než byl samotný provozovatel e-shopu. ÚOOÚ nejprve vyzval k součinnosti kontrolované osoby a požadoval vysvětlení. Protože ale kontrolovaná osoba nereagovala, uložil jí ÚOOÚ pokutu 100 tisíc korun za neposkytnutí součinnosti a nadále se musel spokojit s veřejně dostupnými informacemi.
Neposkytnutí součinnosti trestá ÚOOÚ vysokými pokutami
V druhém případě se jednalo o kontrolu uchování kopií občanských průkazů půjčovnou lyžařského vybavení, která byla zahájena na základě stížnosti polského občana. ÚOOÚ došel k poměrně zajímavému závěru, a sice že jediný právní titul, který by v tomto případě mohl být tolerován, by byl souhlas subjektu údajů (nikoli tedy nezbytnosti pro splnění smlouvy, ale ani oprávněného zájmu).
Z popisu ÚOOÚ je však zřejmé, že kontrolovaná osoba neimplementovala žádná opatření dle GDPR, zejména neinformovala o zpracování osobních údajů a nedokázala věrohodně vysvětlit jejich rozsah. Lze tak těžko usuzovat, jak by kontrola dopadla, kdyby kontrolovaná osoba sdělila (a předložila k posouzení), že kopii dokladu (byť v částečně anonymizované formě) potřebovala jako důkaz pro případnou obhajobu právních nároků, neboť má bohatou zkušenost s tím, že subjekty údajů nevrací zapůjčenou výbavu a podobně.
Třetí kontrola v této oblasti se věnovala zpracování osobních údajů při telemarketingu a byla zahájena na základě stížnosti subjektu údajů. Ten byl totiž telefonicky kontaktován obchodní společností a v rámci telefonátu byl osloven příjmením – což doložil záznamem telefonického hovoru. Kontrola v tomto bodě zjistila, že mezi obchodní společností a zpracovatelem (telemarketingová společnost) nebyla uzavřena zpracovatelská smlouva. Především však bylo zjištěno, že kontrolovaná osoba zpracovává osobní údaje na základě „ústního souhlasu“, který není schopna doložit.
Dalším problematickým bodem byl fakt, že kontrolovaná osoba zpracovávala osobní údaje z dotazníku spokojenosti, což prováděla na základě oprávněného zájmu, který se snažila doložit balančním testem. ÚOOÚ k tomu uvedl následující: „Vypracovaný balanční test prokázal, že výše zmíněný postup je nepřípustný. Mezi problematické faktory u tohoto zpracování patří nemožnost očekávat dané zpracování a fakt, že údaje poskytuje někdo jiný než subjekt údajů, a také skutečnost, že jsou zpracovávány údaje velkého množství osob (subjekt údajů neví, že někdo poskytl jeho osobní údaje třetí osobě, která je využívá k telemarketingu, přičemž je součástí rozsáhlé databáze osobních údajů, které jsou dále zpracovávány po dobu až dvou let). Kontrolující proto vyhodnotili zjištěný stav tak, že kontrolovaná porušila povinnost stanovenou v čl. 6 bod 1 písm. f) nařízení (EU) 2016/679. V důsledku výše uvedeného tak došlo k porušení i čl. 6 odst. 1 nařízení (EU) 2016/679.“
Poslední věc, jež ÚOOÚ vadila, byla doba uchování. Kontrolovaná osoba totiž uchovávala osobní údaje svých klientů po dobu deseti let a jiných osob (kteří nebyli klienty) po dobu dvou let. Kontrolovaná osoba zároveň neuvedla žádné informace o tom, jak danou dobu stanovila. ÚOOÚ sdělil, že doba deseti let v případě zákazníků odpovídá promlčecí době všech potenciálních nároků. K nezákazníkům měl však ÚOOÚ výtku: „Doba uchování dvou let u ‚ostatních‘, tedy osob, jejichž údaje jsou za výše uvedeným účelem zpracovávány nezákonně, neměla dle zjištění kontrolujících opodstatnění, kontrolující proto vyhodnotili zjištěný stav tak, že kontrolovaná osoba porušila povinnost stanovenou v čl. 5 bod 1 písm. e) nařízení (EU) 2016/679, tedy že osobní údaje nejsou uchovávány pouze po dobu nezbytnou pro stanovené účely.“
Školství
V rámci školství proběhly dvě kontroly, a to veřejných vysokých škol. V případě první kontroly byl kontrolován přijímací proces studentů a zpracování osobních údajů v průběhu tohoto postupu. Stěžovateli se totiž nelíbilo, že součástí elektronické přihlášky jsou některé osobní údaje, jejichž zpracování je možno chápat jako nadbytečné. Konkrétně se jednalo o údaje typu místo narození, kvalifikátor občanství, rodinný stav a informace, odkud se uchazeč hlásí. Vedle toho byla porušena povinnost dle čl. 13 GDPR. Nadto bylo vyžadováno rodné číslo jakožto přihlašovací údaj v kombinaci s iniciály jména a příjmení. Kontrolovaná osoba argumentovala, že využívání rodného čísla je důležité pro některé funkcionality, které vyplývají z nastavení daného systému – nicméně tento argument ÚOOÚ nevzal v potaz, neboť již v minulosti byla tato praxe velmi často odmítána a argument, že technicky nelze využít jiného identifikátoru než rodného čísla, je zkrátka irelevantní. Klíčové je to, zda je zpracování rodného čísla v souladu se zákonem o evidenci obyvatel a zda jsou práva subjektu údajů dostatečně chráněna – v případě identifikátoru, kterým je rodné číslo, tomu tak prakticky nikdy nebude.
Druhá kontrola je však zajímavější, neboť byla zahájena na základě ohlášení porušení zabezpečení osobních údajů. K porušení zabezpečení mělo dojít v souvislosti s napadením univerzitní sítě ransomwarem (tzv. „vyděračským“ softwarem, který obvykle zahesluje část dat a vyžaduje pro odblokování přístupu zaplacení „výkupného“). Konkrétně se jednalo o síť, na které provozuje správa kolejí a menz stravovací informační systém. Důležité je zmínit, že kontrolovaná vysoká škola implementovala poměrně silná technická a organizační opatření, včetně proškolení odpovědných pracovníků, stanovení přístupů a logování těchto přístupů.
ÚOOÚ se s tímto však nespokojil a uvedl: „Při posuzování vhodné úrovně zabezpečení nebyla prověřena všechna rizika, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů nebo neoprávněný přístup k nim.“ Škola však své chyby napravila a k navazujícím řízením nedošlo.
Pokračování příště
Z popisů, které ÚOOÚ uvádí, se můžeme dozvědět a do budoucna lépe předpovědět, jak se staví k různým typům porušení a jaké zastává názory. Víme tak už, že ÚOOÚ se nebojí sáhnout k poměrně vysoké pokutě v případě, že správce nereaguje na jeho žádosti k doložení splnění povinností. Na co se můžete těšit příště? Rozhodně na zpracování osobních údajů v rámci zdravotnictví, ale také se podíváme na to, nakolik pro ÚOOÚ může hrát roli dobrá víra správce.
Článek byl publikován v Elektronickém zpravodaji pro pověřence dne 6. 8. 2020